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Procede, systeme, dispositif pour diminuer la charge de travail pendant 
une session destinee a prouver l'authenticite d'une entite et/ou I'origine 
et l'integrite d'un message. 

La presente invention concerne les procedes, les systemes ainsi que les 
dispositifs destines a prouver l'authenticite d'une entite et/ou Torigine et 
Tintegrite d'un message. 

Le brevet EP 0 311 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel procede. On y fera ci-apres reference en le 
designant par les termes : « brevet GQ » ou « proced6 GQ ». 
Selon le procede GQ, une entite appelee « autorite de confiance » attribue 
une identite a chaque entite appelee « temoin » et en calcule la signature 
RSA; durant un processus de personnalisation, T autorite de confiance 
donne identity et signature au temoin. Par la suite, le temoin proclame : 
« Void mon identite ; j'en connais la signature RSA. » Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identite. Gr,ce a la cle 
publique de verification RSA distribute par l'autoritS de confiance, une 
entite appelee « controleur » verifie sans en prendre connaissance que la 
signature RSA correspond a 1'identite proclamec. Les mecanisnies utilisant 
le procede GQ se deroulent « sans transfert de connaissance ». Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
1'autorite de confiance signe un grand nombre d'identites. La securite du 
procede GQ est au mieux equivalente a la connaissance de la signature RSA 
de 1'identite. II y a equivalence lorsque Texposant public de verification 
RSA est un nombre premier. 

Le procede GQ met en oeuvre des calculs modulo des nombres de 512 bits. 
Ces calculs concernent des nombres ayant sensiblement la meme taille 
eleves a des puissances de l'ordre de 2 16 + 1. Or les infrastructures 
microelectroniques existantes, notamment dans le domaine des cartes 
bancaires, font usage de microprocesseurs auto-programmables 



monolithiques depourvus de coprocesseurs arithmetiques. La charge de 
travail liee aux multiples operations arithmetiques impliqu^es par des 
precedes tels que le proced6 GQ, entrame des temps de calcul qui dans 
certains cas s'averent penalisant pour les consommateurs utilisant des cartes 
bancaires pour acquitter leurs achats. II est rappele ici, qu'en cherchant a 
accroitre la securite des cartes de paiement, les autorites bancaires posent un 
probleme particulierement delicat a resoudre. En effet, il faut traiter deux 
questions apparemment contradictoires : augmenter la security en utilisant 
des cles de plus en plus longues et distinctes pour chaque carte tout en 
evitant que la charge de travail n'entraine des temps de calcul prohibitifs 
pour les utilisateurs. Ce probleme prend un relief particulier dans la mesure 
ou, en outre, il convient de tenir compte de T infrastructure en place et des 
composants microprocesseurs existants. 

L' invention a pour objet d'apporter une solution k ce probleme tout en 
renfor9ant la securite. Plus particulierement, T invention concerne un 
procede pour diminuer la charge de travail pendant une session destinee a 
prouver a un controleur, 

- F authenticity d'une entite et/ou 

- l'origine et Tintegrite d'un message m. 

Procede 

Le procede selon T invention, met en oeuvre les trois entites ci-apres 
definies. 

I. Une premiere entite, appelee temoin, dispose des facteurs premiers p,, p 2 , 
... (p |5 ...) (i etant superieur ou egal a 2) d'un module public n tel que n = 
p r p 2 . p 3 Le temoin dispose aussi 

* des composantes QA 1? QA 2 , ... (QA i5 ...), et QB l5 QB 2 , ... (QB |5 ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GA^, ... (GA t , ...) et GB l5 GB 2 , ... (GB |5 ...) 
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* des exposants publics de verification vx, vy, ... 

Les cles privees et les cles publiques sont liees par des relations du type : 

GA.QA™ mod n = 1 ou GA = QA"mod n 
Les exposants publics de verification vx, vy, ... sont utilises par le t6moin 
pour calculer des engagements R en effectuant des operations du type : 

R, = r " mod p, 
ou r, est un al6a tel que 0 < r, < p, . 

Ainsi, selon le nouveau procede, les roles de temoin et d'autorite de 
confiance fusionnent. Chaque temoin utilise la factorisation p t , p 2 , ... (p,, ...) 
de son propre module public n. De sorte que le nombre d*op6rations 
arithm&iques modulo p, h effectuer pour calculer chacun des Rj pour 
chacun des p, est r6duit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n. L* usage de la factorisation du module n reduit 
significativement la charge de travail du temoin. Par rapport au procede 
GQ, et a fortiori par rapport k d'autres precedes tel que le proced6 RSA de 
signature, le proc6de selon T invention permet de substantielles Economies 
de calcul, en particulier pour Tauthentification. 

II. Le procede selon l'invention met en oeuvre une deuxieme entite pilote 
dudit temoin. Cette entite pilote est appelee 

* demonstrates dans le cas de la preuve de T authenticity d'une entite 
ou de 1' authenticity d'un message, 

* signataire dans les cas de la preuve de Torigine et de Tintegrite d'un 
message. 

On verra ci-apres quel est son role. 

III. La troisieme entite, appelee controleur, verifie Taiithentification ou 
Torigine et Tintegrite d'un message. 

Selon l'invention, le temoin regoit de la deuxieme entite pilote ou du 
controleur un ou plusieurs defis d tel que 0<d<vx-let calcule a partir de 
ce defi une ou plusieurs reponses D en effectuant des operations du type : 



D, = r, . QAj d mod p. 
ou r, est un alea tel que 0 < r { < p 1 

On constatera ici, de meme que precedemment, que le nombre d' operations 
arithm&iques modulo p. a effectuer pour calculer chacune des reponses D t 
pour chacun des p. est reduit par rapport a ce qu'il serait si les operations 
etaient effectuees modulo n. 

Le controleur re9oit, selon le cas, une ou plusieurs reponses D. II calcule, a 
partir desdites reponses D, les^engagements R' en effectuant des operations 
du type : 

R'^GA'.D" modn 

ou du type : 

R'j. GA d = D" mod n 

Le controleur peut alors verifier que les triplets {R% d, D} sont coherents. 
Dans le cas general qui vient d'etre expose, il y a plusieurs exposants de 
verifications vx, vy, .... On va maintenant exposer Tinvention dans le cas ou 
Fexposant de verification v est unique. 

Cas ou Fexposant de verification v est unique 
De meme que precedemment, le procede selon T invention met en oeuvre 
trois entites : 

I. Une premiere entite, appelee temoin, dispose des facteurs premiers p l9 p 2 , 
(p. , ...) (i etant superieur ou egal a 2) d'un module public n tel que n = 

PrPr P 3 

Le temoin dispose aussi 

* des composantes QA l5 QA 2 , ... (QA., ...), et QB X , QB 2 , ... (QB ( , ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA l5 GA 2 , ... (GA,, ...) et GB„ GB 2 , ... (GB., ...) 

* de Texposant public de verification v 

Dans ce cas conune dans le precedent, il est prevu plusieurs paires de cles 
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references A, B, ... 

Les paires de cles privees et publiques sont liees par des relations du type : 

GA.QA' mod n = 1 ou GA = QA'mod n 
L'exposant public unique de verification v est utilise par le temoin pour 
calculer des engagements R. A cet effet : 

• il effectue des operations du type : 

R, = r* mod p, 

oil r, est un entier, tire au hasard, associe au nombre premier p,, tel que 0 < 
r. < p, , appartenant a au moins une collection d'aleas {r l9 r 2 , r 3 , .•.}, 

• puis il applique la m^thode dite des restes chinois, (on ddcrira ci-apres la 
methode des restes chinois qui est connue en soi). 

II y a autant d'engagements R que de collections d'aleas {r l9 r 2 , r 3 , ...}, 
Bien entendu, dans ce cas comme dans le cas general precedent, le nombre 
d' operations arithmetiques modulo p t a effectuer pour calculer chacun des 
Rj pour chacun des p 1 est reduit par rapport a ce qu'il serait si les operations 
etaient effectuees modulo n. 

II. La deuxieme entite pilote dudit temoin est appelee : 

* demonsirateur dans le cas de la preuve de l'authenticite d'une entite 
ou de Tauthenticite d'un message, 

* signataire dans les cas de la preuve de l'origine et de Tintegrit6 d'un 
message, 

III. La troisieme entite, appelee controleur, verifie l'authentification ou 
l'origine et Tintegrite d'un message. 

Plus particulierement, dans le cas de cette variante de realisation le temoin 
re$oit de la deuxieme entite ou du controleur, des collections de defis d 
{dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de d6fis d 
est egal au nombre d'engagements R. Chaque collection {dA, dB, ...} 
comprend un nombre de defis egal au nombre de paires de cles. 
Le temoin calcule h partir de chacune desdites collections de defis {dA, dB, 



...} des reponses D. A cet effet : 

• il effectue des operations du type : 

D, s r. . QA, dA . QB, dB . ... mod p, 

• puis il applique la methode des restes chinois. 

II y a autant de reponses D que d'engagements R et de defis d. 
II convient de souligner, ici aussi, que le nombre d' operations arithmetiques 
modulo Pj a effectuer pour calculer chacun des D 1 pour chacun des Pj est 
reduit par rapport a ce qu'il serait si les operations etaient effectives 
modulo n. 

Le controleur re9oit une reponse D. II calcule a partir de cette reponse un 
engagement R' en effectuant des operations du type : 

R' s GA dA . GB dB . ...D v mod n 

ou du type : 

R' . GA d \ GB d \ D v mod n 

Le controleur verifie que les triplets {R% d, D} sont coherents. 
Ainsi, gr,ce a la presente invention, le temoin qui proclame : « Void une cle 
publique de verification (v, n) et une cle publique GA ; je connais la 
factorisation de n et la cle privee QA » prouve sans la reveler qu'il connait 
la cle privee QA. Le controleur verifie la cle privee QA sans en prendre 
connaissance. Les mecanismes se deroulent « sans transfert de 
connaissance ». On le verra ci-apres, que le procede selon Tinvention 
autorise certaines paires de cles telles que la connaissance de la cle privee 
QA est equivalente a la connaissance de la factorisation du module n. 
On va maintenant exposer les variantes de realisation de Tinvention 
concernant : 

- le cas d'une authentification d'entite, 

- le cas d'une authentification de message, 

- le cas d'une signature numerique de message. 

Cas d'une authentification d'entite 



Cas ou l'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particuli&re, la session est 
destinee a prouver a un controleur F authenticity d'une entity. 
Comme dans le cas general, la session met en oeuvre trois entites. 

I. Une premiere entite, appel^e t€moin, dispose des facteurs premiers p,, p 2 , 
••♦ (p { 9 — ) (i etant sup^rieur ou 6gal k 2) d'un module public n tel que n = 
Pi-P 2 - P 3 - — ' 

Le temoin dispose aussi : 

* des composantes QA l9 QA 2 , ... (QAj , ...), et QB V QB 2 , ... (QB, , ...), 
representant des cl6s privies QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA X > GA 2 , ... (GA 4 , ...) et GB^ GB 2 , ... (GB,, ...) 

* de Fexposant public de verification v 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA* mod d = 1ouGA = QA'mod n 

II. La deuxieme entite, pilote dudit temoin, est appetee demonstrates. 

III. La troisieme entite, appelee controleur, verifie l'authentification. 

Pour prouver Tauihenticite d'une entite, le temoin, le demonstrateui et le 
controleur executent les etapes suivantes : 

* etape 1. engagement R du temoin : 

A chaque appel, le temoin tire au hasard et en prive au moins une collection 
de nombres entiers {r„ r 2 , r 3 , ...},telle que, pour chaque facteur premier p,, 
chaque collection comporte un alea r,positif et plus petit que Pj , 
Pour chaque facteur premier p. , le temoin eleve chaque alea r, a la puissance 
v ieme modulo p. t 

R, = r; mod p, 

On notera que le nombre d* operations arithmetiques modulo p x a effectuer 
pour calculer chacun des Rj pour chacun des p 1 est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n. 
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Puis, le temoin etablit chaque engagement R modulo n selon la methode des 
restes chinois. 

II y a autant d' engagements R que de collections d'aleas {r l5 r 2 , r 3 , ...}, 

• etape 2. defi d destine au temoin : 

Le demonstrates transmet tout ou partie de chaque engagement R au 
controleur. 

Le controleur, apres avoir re?u tout ou partie de chaque engagement R, 
produit au moins une collection de defis d {dA, dB, ...} tels que 0 < dA < v 
- 1. Le nombre des collections de defis d est egal au nombre d' engagements 
R. Chaque collection {dA, dB, ...} comprend un nombre de defis egal au 
nombre de paires de cles. 

• etape 3. reponse du temoin au defi d : 

Le temoin calcule des reponses D a partir des collections de defis d {dA, 
dB, ...} regues du controleur. A cet effet : 
il effectue des operations du type : 

D, = r ( . QA. dA . QB, dB . ... mod p ( 
puis, il applique la methode des restes chinois. 

Le nombre d'operations arithmetiques modulo p } a effectuer pour calculer 
chacun des D x pour chacun des Pj est reduit par rapport a ce qu'il serait si 
les operations etaient effectuees modulo n. 

II y a autant de reponses D calculees par le temoin que d* engagements R et 
de defis d. 

• etape 4. donnees destinees au controleur : 

Le demonstrates transmet au contr61eur chaque reponse D. 

• etape 5. verification par le controleur : ^ 

Le controleur calcule a partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R'= GA dA . GB dB . ...D v mod n 

ou du type : 
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R' . GA dA . GB **. ...= D v mod n 
Le contrdleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis k 1'etape 2 par le 
demonstrateur. 

Cas d'une authentication de message 
cas ou l'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particuli&re, la session est 
destinee k prouver k un controfeur Tauthenticite d'un message m. 
Comme dans le cas general, la session met en oeuvre trois entites. 

I. Une premiere entity, appelee temoin, dispose des facteurs premiers p„ p 2 , 
... (p., ...) (i etant sup^rieur ou egal a 2) d'un module public n tel que n = 

PrP 2 - P 3 - — » 

Le temoin dispose aussi : 

* des composantes QA„ QA 2 , ... (QA. , et QB„ QB 2 , ... (QB. , ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA., ...) et GB,, GB 2 , ... (GB., ...) 

* de l'exposant public de verification v 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA V mod n = 1 ou GA = QA v mod n 

II. Une deuxieme entite, pilote du temoin, est appelee demonstrateur. 

III. Une troisieme entite, appelee controleur, verifie 1' authenticity d'un 
message. 

Pour prouver r authenticity d'un message le temoin, le demonstrateur et le 
controleur executent les etapes suivantes : 

! etape 1. engagement R du temoin : 
A chaque appel, le temoin tire au hasard et en privy au moins une collection 
de nombres entiers {r,, r 2 , r 3 , ...}, telle que pour chaque facteur premier p., 
chaque collection comporte un alea r.positif et plus petit que p. . 
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Pour chaque facteur premier p., le t6moin eleve chaque alea r, a la puissance 
v ieme modulo p. 

R, = r," mod p, 

(de sorte que le nombre d operations arithmitiques modulo p, a effectuer 
pour calculer chacun des R t pour chacun des p t est reduit par rapport a ce 
qu'il serait si les operations itaient effectuees modulo n) 
Puis, le temoin etablit chaque engagement R modulo n selon la methode des 
restes chinois. 

II y a autant d'engagements R que de collections d'aleas {r„ r 2 , r 3 , ...}, 

• etape 2. defi d destine au temoin : 

Le demonstrateur applique une fonction de hachage f ayant comme 
arguments, le message m et chaque engagement R pour obtenir un jeton T. 
Le demonstrateur transmet le jeton T au controleur, 

Le controleur, apres avoir recu le jeton T, produit au moins une collection 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections 
de defis d est egal au nombre d'engagements R. Chaque collection {dA, 
dB, ...} comprend un nombre de defis egal au nombre de paires de cles. 

• etape 3. reponse du temoin au defi d : 

Le temoin calcule les reponses D a partir des collections de defis d {dA, 
dB, ...} re?ues du controleur. A cet effet, 
il effectue des operations du type : 

D s = r, . QA, dA . QB, dB . ... mod p. 
puis, il applique la methode des restes chinois. 

Le nombre d'operations arithmetiques modulo p, a effectuer pour calculer 
chacun des D, pour chacun des Pj est reduit par rapport a ce qu'il serait si 
les operations etaient effectu6es modulo n. 

II y a autant de reponses D calculees par le temoin que d'engagements R et 
de defis d. 

• etape 4. donnees destinees au controleur : 



Le demonstrateur transmet au controleur chaque reponse D. 

* etape 5. verification par le controleur : 

Le controleur calcule a partir de chaque r6ponse D un engagement R' en 
effectuant des operations du type : 

R'= GA dA . GB dB . ... J) r mod n 

ou du type : 

R\ GA dA . GB d \ ...= D v mod n 

Le controleur applique la fonction de hachage f ayant comme arguments le 
message m et chaque engagement reconstruit R' pour reconstruire le jeton 
T\ 

Le controleur verifie que le jeton T' est identique au jeton T transmis a 
T etape 2 par le demonstrateur. 

Cas d'une signature numerique de message 
Cas ou l'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un controleur la signature numerique d'un message m. 
Comme dans le cas general, la session met en oeuvre trois entites. 

I. Une premiere entite appelee temoin dispose des facteurs premiers p,, p 2 , 
... (p l5 ...) (i etant superieur ou egal a 2) d'un module public n tel que n = 

Pi-P 2 - P 3 

Le temoin dispose aussi 

* des composantes QA l9 QA 2 , ... (QA. , .♦.), et QB 1? QB 2 , ... (QBj , ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA l9 GA 2 , ... (GA iy ...) et GB l9 GB 2 , ... (GB l5 ...) 

* de l'exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA V mod n - 1 ou GA = QA v mod n 

II. Une deuxieme entite, pilote dudit temoin, est appelee signataire. 
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III. Une troisieme entite, appelee controleur, verifie la signature du message 
m. 

Pour prouver la signature d'un message le temoin, le demonstrates et le 
controleur ex6cutent les etapes suivantes : 

• etape 1. engagement R du temoin : 

A chaque appel, le temoin tire au hasard et en prive au moins une collection 
de nombres entiers {r l9 r 2 , r 3 , ...},telle que, pour chaque facteur premier p p 
chaque collection comporte un alea r,positif et plus petit que p, . 
Pour chaque facteur premier p. , le temoin eleve chaque alea r, a la puissance 
v ieme modulo p. 

Rj = r* mod p, 

(de sorte que le nombre d'operations arithmetiques modulo p £ a effectuer 
pour calculer chacun des R t pour chacun des p t est reduit par rapport a ce 
qu 'il serait si les operations etaient effectuees modulo n) 
Puis, le temoin etablit chaque engagement R modulo n selon la methode des 
restes chinois. 

II y a autant d'engagements R que de collections d'aleas {r l5 r 2 , r 3 , •..}. 

• etape 2. defi d destine au temoin : 

Le signataire applique une fonction de hachage f ayant comme arguments le 
message m et chaque engagement R pour obtenir au moins une collection 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections 
de defis d est egal au nombre d'engagements R, chaque collection {dA, dB, 
...} comprend un nombre de defis egal au nombre de paires de cles. 
Le signataire transmet les collections de defis d au temoin. 

• etape 3. reponse du temoin au defi d : 

Le temoin calcule des reponses D a partir desdites collections de defis d 
{dA, dB, ..•} re9ues du controleur. A cet effet, 
il effectue des operations du type : 

= r . QA, " . QB t dB . ... mod Pi 




(de sorte que le nombre d' operations arithmetiques modulo p x a effectuer 
pour calculer chacun des D 2 pour chacun des p x est reduit par rapport a ce 
qu 'il serait si les operations etaient ejfectuees modulo n ) 
puis, il applique la m6thode des restes chinois. 

II y a autant de reponses D calcutees par le temoin que d' engagements R et 
de defis d. 

Le t6moin transmet les reponses D au signataire et/ou au controleur. 

• etape 4. donnees destinees au contrdleur : 

Le signataire transmet un message signe au controleur comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 
- chaque reponse D 

• etape 5. verification par le contrdleur : 

Cas ou le contrdleur re^oit la collection des defis d, 

Dans le cas ou le controleur re5oit la collection des defis d et des reponses 
D, ledit controleur calcule a partir de chaque reponse D un engagement R' 
en effectuant des operations du type : 

R'hGA dA .GB dB ....D v modn 

ou du type : 

R' . GA dA . GB d \ D v mod n 

Le controleur applique la fonction de hachage f ayant comme arguments le 
message m et chaque engagement reconstruit R' pour reconstruire chaque 
defi d'. 

Le controleur verifie que chaque defi d' reconstruit est identique au defi d 
figurant dans le message signe. 

Cas ou le controleur re^oit la collection des engagements R 

Dans le cas ou le controleur re5oit la collection des engagements R et des 
reponses D, ledit controleur applique la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour reconstruire chaque 
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deii d'. 

Le controleur reconstruit alors la collection des engagements R' en 
effectuant des operation du type 

R'=GA dA .GB dB ....D v modn 

ou du type : 

R' . GA d \ GB d '\ ...= D T mod n 

Le controleur verifie que chaque engagement R' reconstruit est identique a 
l'engagement R figurant dansle message signe\ 

Paire de cles selon la presente invention conferant une security 
equivalente a la connaissance de la cle privee Q 
La paire de cl6s GA, QA, ... n'a plus de raison d'etre systematiquement 
deduite de l'identit6 du temoin, comme dans le cas du precede GQ. 
Selon une variante de realisation, un grand nombre de temoins utilisent le 
meme ensemble de cl€s publiques tres courtes GA, GB, GC, GD ... par 
exemple, 4, 9, 25 et 49. 

Dans le cas de la variante de realisation ci-apres exposee les composantes 
QA,, QA 2 , ... (QA, , ...), et QB,, QB 2 , ... (QB, , ...), ... des cles privees QA, 
QB, ... sont des nombres tires au hasard a raison d'une composante QA, , 
QB,, ... pour chacun desdits facteurs premiers p,. Lesdites cles privees QA, 
QB, peuvent etre calculees a partir desdites composantes QA„ QA 2 , ... (QA. 
' et Q B i» Q B 2» — (QB,, ...), ... par la methode des restes chinois. 
Les cles publiques GA, GB, ... sont calculees en effectuant des operations 
du type : 

GA, = QA," mod p, 
puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA'mod n 

ou bien tel que 

GA.QA" mod n s 1 

Ainsi, le nombre d'operations arithmetiques modulo p, a effectuer pour 
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calculer chacun des GA ( pour chacun des p t est reduit par rapport a ce qu'il 
serait si les operations etaient effectu6es modulo n. 

De preference Texposant public de verification v est un nombre premier. 
Dans ce cas la paire de cles GA, QA confere une securite Equivalente k la 
connaissance de la cle priv6e QA. 

Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la factorisation de n 
De preference, l'exposant public de verification v est du type 

v = a k 

ou k est un paramfetre de securite. 

De pr6ference, 6galement Texposant public de verification v est du type 

v = 2 k 

ou k est un parametre de s6curit6. 

Dans ce cas, la cle publique GA est un carre gA 2 inferieur a n choisi de telle 
sorte que Tequation 

x 2 = g A mod n 

n'ait pas de racine en x dans l'anneau des entiers modulo n. 

Les composantes QA,, QA 2 , (QA. , „.) de la cle privee QA sont alors 
telles que : 

GA= QA^^modp, 

ou bien telles que : 

GA.QA l 2 ~ pW modppl 

On les obtient en extrayant la kieme racine carree de GA dans le corps de 
Galois CG(p.), 

Ainsi, le nombre d'operations arithmetiques modulo p x a effectuer pour 
calculer chacun des QA, pour chacun des p, est reduit par rapport a ce qu'il 
serait si les operations etaient effectuees modulo n. 

On demontre que la paire de cles GA, QA confere une securite equivalente 
a la connaissance de la factorisation de n. 
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De preference, pour extraire la kieme racine carree de GA dans le corps de 
Galois CG(p,), on utilise les methodes suivantes : 

- dans le cas oil le facteur premier p, est congru a 3 modulo 4, on 
applique notamment un algorithme du type : 

x = (p+l)/4 ; y = x k mod (p-1) ; z = y ; QA. s GA 1 mod p. 

- dans le cas oii le facteur premier p, est congru a 1 modulo 4, on 
emploie les suites de Lucas. 

Systeme 

La presente invention concerne egalement un systeme permettant de mettre 
en oeuvre le procedg ci-dessus expose. 

Le systeme selon l'invention permet de diminuer la charge de travail 
pendant une session destin6e a prouver a un serveur controleur, 

- 1' authenticity d'une entite et/ou 

- l'origine et l'integrit6 d'un message m. 
Le systeme met en oeuvre trois entites : 

I. Une premiere entity, appelee dispositif temoin, contenue notamment 
dans un objet nomade se presente par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p„ p 2 , ... (p, , ...) (i 6tant superieur ou egal a 2) d'un 
module public n tel que n = p,.p 2 . p 3 

Le dispositif temoin dispose aussi d'une deuxieme zone memoire contenant 

* des composantes QA,, QA 2 , ... (QA,, ...), et QB„ QB 2 , ... (QB,, ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA X , GA 2 , ... (GA., ...) et GB,, GB 2 , ... (GB,, ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cles privees et cles publiques etant liees par des relations du type : 



GA.QA" mod n = 1 ou GA = QA"mod n 

Le dispositif t&noin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R, = mod p, 
ou Tj est un alea tel que 0 < r, < p,, 

II. Le systeme met en oeuvre une deuxieme entity, appel6e dispositif pilote 
dudit dispositif t&noin. Elle peut etre contenue notamment dans ledit objet 
nomade. Le dispositif pilote est plus pr&nsement appele : 

* dispositif d&nonstrateur dans le cas de la preuve de r authenticity 
d'une entite ou de F authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
l'integrite d'un message, 

III. Le systeme met en oeuvre une troisieme entite, appetee dispositif 
controleur, se pr6sentant notamment sous la forme d*un terminal et/ou d'un 
serveur distant connecte a un reseau de communication informatique. Le 
dispositif controleur comporte des moyens de connexion pour le connecter 
electriquement, electromagn&iquement, optiquement ou de maniere 
acoustique au dispositif temoin. Le dispositif controleur verifie 
Tauthentification ou Torigine et Fintegrite d'un message. 

Le dispositif temoin refoit du dispositif pilote ou du dispositif controleur un 
ou plusieurs defis d tel que 0 < d < vx - 1. II comporte des deuxiemes 
moyens de calcul pour calculer a partir des defis d une ou plusieurs 
reponses D en effectuant des operations du type : 

D t = Tj . QA. d mod P( 
ou r. est un alea tel que 0 < r t < Pj 

(de sorte que le nombre d' operations arithmetiques modulo p. a effectuer 
par lesdits deuxi&mes moyens de calcul pour calculer chacune des reponses 
D. pour chacun des p i est reduit par rapport a ce qu'il serait si les 
operations etaient ejfectuees modulo n) 
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Le dispositif controleur, re?oit une ou plusieurs reponses D. II comporte des 
troisiemes moyens de calcul pour calculer a partir desdites reponses D des 
engagements R* en effectuant des operations du type : 

R' t = GA d . D" modn 

5 ou du type : 

R'..GA d sD" modn 

Le dispositif controleur comporte des quatriemes moyens de calcul pour 
verifier que les triplets {R% d, D} sont coherents. 

Cas ou 1'exposant de verification v est unique 
10 De meme que precedemment, le systeme selon 1' invention met en oeuvre 

trois entites. 

I. Une premiere entite, appelee dispositif temoin, contenue notamment dans 
un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. 
15 Le dispositif temoin dispose d'une premiere zone memoire contenant des 

facteurs premiers p 1? p 2 , ... (p. , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = p r p 2 . p 3 . , 

Le dispositif temoin dispose aussi d'une deuxieme zone memoire contenant 

20 * des composantes QA l9 QA 2 , ... (QA^ ...), et QB l9 QB 2 , ... (QB i5 ...), 

representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA 1? GA 2 , ... (GA,, ...) et GB l5 GB 2 , ... (GB., ...), 

* un exposant public de verification v. 

25 Les paires de cles privees et publiques sont liees par des relations du type : 

GA.QA* mod n = 1 ou GA = QA v mod n 
Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R. A cet effet, 
• il effectue des operations du type : 
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Rj = r, T mod p, 

ou r, est un entier, tire au hasard, associe au nombre premier p p tel que 0 < 
Tj < ft , appartenant a au moins une collection d'al6as {r l5 r 2 , r 3 , ...}, 
* puis, il applique la methode des restes chinois. 

II y a autant d' engagements R que de collections d'ateas {r^ r 2 , r 3 , ...}, 
Le nombre d' operations arithmetiques modulo p 1 k effectuer par lesdits 
premiers moyens de calcul pour calculer chacun des Rj pour chacun des p x 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

IL La deuxieme entite, appelee dispositif pilote dudit dispositif temoin, peut 
etre contenue notamment dans ledit objet nomade. Le dispositif pilote est 
appele : 

* dispositif demonstrates dans le cas de la preuve de l'authenticit6 
d'une entite ou de Fauthenticite d'un message, 

* dispositif de signature dans les cas de la preuve de Forigine et de 
Fintegrite d'un message, 

III. La troisieme entite, appelee dispositif controleur, se presente 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique. Le dispositif controleur 
comporte des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique audit 
dispositif temoin. Le dispositif controleur verifie Fauthentification ou 
Forigine et Fintegrite d'un message, 

Plus particulierement, dans le cas de cette variante de realisation, le 
dispositif temoin regoit du dispositif pilote ou du dispositif controleur, des 
collections de defis d {dA, dB, .♦.} tels que 0 < dA < v - 1. Le nombre des 
collections de defis d est egal au nombre d' engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cles. 



Le dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de defis {dA, dB, ...} des 
reponses D. A cet effet, 

• il effectue des operations du type : 

D. = r ( . QA, " . QB, dB . ... mod p, 

• puis, il applique la methode des restes chinois. 

II y a autant de reponses D que d' engagements R et de defis d. 
II convient de souligner, ici aussi, que le nombre d' operations arithmetiques 
modulo Pj a effectuer par lesdits deuxiemes moyens de calcul pour calculer 
chacun des D i pour chacun des p { est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 

Le dispositif controleur regoit une ou plusieurs reponses D. II comporte des 
troisifemes moyens de calcul pour calculer a partir desdites reponses D un 
engagement R* en effectuant des operations du type : 

R'= GA d \ GB dB . ...D v mod n 

ou du type : 

R' . GA dA . GB dB . D v mod n 

Le dispositif controleur comporte des quatriemes moyens de calcul pour 
verifier que les triplets {R% d, D} sont coherents. 

On va maintenant exposer les variantes de realisation du systeme selon 
1' invention concernant : 

- le cas d'une authentification d'entite, 

- le cas d'une authentification de message, 

- le cas d'une signature numerique de message. 

Cas d'une authentification d'entite 
Cas ou 1'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un controleur l'authenticite d'une entite. 
Comme dans le cas general, le session met en oeuvre trois entites du 
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systeme selon Tinvention. 

I. Une premiere entity appelee dispositif temoin, contenue notamment dans 
un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p„ p 2 , ... (p, , ...) (i etant superieur ou egal k 2) d'un 

module public n tel que n = p^. p 3 Le dispositif temoin dispose aussi 

d'une deuxieme zone memoire contenant : 

* des composantes QA l5 QA 2 , ... (QA t , ...), et QB l5 QB 2 , ... (QB |5 ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA l5 GA 2 , ... (GA,, ...) et GBj, GB 2 , ... (GB,, ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA T mod n = 1 ou GA = QA v mod n 

II. La deuxieme entite, appelee dispositif demonstrateur dudit dispositif 
temoin, peut etre contenue notamment dans ledit objet nomade. 

III. Une troisieme entite, appelee dispositif controleur, se presente sous la 
forme d'un terminal et/ou d'un serveur distant connecte a un reseau de 
communication informatique. Le dispositif controleur comporte des moyens 
de connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique audit dispositif temoin, 

Pour prouver l'authenticite d'une entite, ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

* etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r l5 r 2 , r 3 , ...}, telle que, pour chaque facteur premier p,, chaque 
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collection cornporte un alea r,positif et plus petit que p, . 

Le dispositif t6moin cornporte des deuxiemes moyens de calcul pour elever 

chaque al£a r, a la puissance v ieme modulo p, , pour chaque facteur premier 

R l = r* mod p, 

On notera que le nombre d' operations arithmetiques modulo Pj k effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des Rj pour 
chacun des p t est reduit par rapport a ce qu'il serait si les operations etaient 
eff ectuees modulo n. 

Puis, lesdits deuxiemes moyens de calcul du dispositif temoin 6tablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d' engagements R que de collections d* aleas {r^ r 2 , r 3 , ...}, 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif demonstrates cornporte des moyens de transmission pour 
transmettre tout ou partie de chaque engagement R au dispositif controleur. 
Le dispositif controleur cornporte des troisiemes moyens de calcul pour 
calculer, apres avoir re?u tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, •..} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d est egal au nombre d' engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cles. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin cornporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
re§ues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D t = r t . QA t dA . QB. dB . mod p, 
puis, il applique la methode des restes chinois. 

Le nombre d' operations arithmetiques modulo a effectuer par les 



quatriemes moyens de calcul pour calculer chacun des D t pour chacun des 
Pj est reduit par rapport k ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant de reponses D calculees par le temoin que d'engagements R et 
de defis d. 

• etape 4. donnees destinees au dispositif controleur : 

Le d€monstrateur comporte des moyens de transmission pour transmettre au 
dispositif controleur chaque reponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur comporte des cinquiemes moyens de calcul pour 
calculer a partir de chaque r6ponse D un engagement R' en effectuant des 
operations du type : 

R' = GA dA . GB dB . ...D v mod n 

ou du type : 

R\ GA d \ GB dB , ... = E) T mod n 

Le dispositif controleur comporte des sixiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R' reproduit tout 

ou partic de chaque engagement R transmis a I'etape 2 par le dispositif 
demonstrates. 

Cas d'une authentification de message 
Cas ou l'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un controleur Tauthenticit6 d'un message m. 
Comme dans le cas general, la session met en oeuvre trois entites du 
systeme. 

I. Une premiere entite, appelee dispositif temoin, contenue notamment dans 
un objet nomade se presente par exemple sous la forme d'une carte bancaire 
a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone memoire contenant des 
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facteurs premiers p„ p 2 , ... (p, , ...) (i etant superieur ou egal a 2) d'un ' 
module public n tel que n = p,.p 2 . p 3 . ... ,.Le dispositif temoin dispose aussi 
d'une deuxieme zone memoire contenant 

* des composantes QA,, QA 2 , ... (QA,, ...), et QB,, QB 2 , ... (QB,, ...), 
representant des cl6s privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA,, ...) et GB,, GB 2 , ... (GB,, ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA V mod n = 1 ou GA = QA T mod n 

II. Une deuxieme entity, appel6e dispositif demonstrateur dudit dispositif 
temoin, peut Stre contenue notamment dans ledit objet nomade. 

III. Une troisieme entity, appelee dispositif controleur, se pr6sente sous la 
forme d'un terminal et/ou d'un serveur distant connect^ a un r&eau de 
communication informatique. Le dispositif controleur comporte des moyens 
de connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique audit dispositif temoin. 

Pour prouver l'authenticite d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 

hasard et en prive, a chaque appel, au moins une collection de nombres 

entiers {r„ r 2 , r 3 , ...}, telle que pour chaque facteur premier p,, chaque 

collection comporte un alea r,positif et plus petit que p, . 

Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 

chaque alea r, a la puissance v ieme modulo p, , pour chaque facteur premier 

Pi. 

Rj = r," mod p, 
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Le nombre d'operations arithmetiques modulo Pj a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des Rj pour chacun des 
Pj est reduit par rapport a ce qu'il serait si les operations etaient effectu£es 
modulo n. 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 6tablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d'engagements R que de collections d'aleas {r l9 r 2 , r 3 , ...}. 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif d6monstrateur comporte des premiers moyens de calcul pour 
calculer un jeton T, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R. 

Le dispositif demonstrates comporte des moyens de transmission pour 
transmettre le jeton T au dispositif contrdleur. 

Le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, apres avoir re?u le jeton T, au moins une collection de d6fis d {dA, 
dB, •..} tels que 0 < dA < v - 1. Le nombre des collections de defis d est 
egal au nombre d'engagements R. Chaque collection {dA, dB, ...} 
comprend un nombre de defis egal au nombre de paires de cles. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
revues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D, = r. . QA, dA . QB ( dB . ... mod p. 
puis, il appliquant la methode des restes chinois. 

Le nombre d'operations arithmetiques modulo Pj a effectuer par les 
quatriemes moyens de calcul pour calculer chacun des Dj pour chacun des 
Pj est reduit par rapport k ce qu'il serait si les operations etaient effectuees 
modulo n 
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II y a autant de reponses D calculees par le temoin que d'engagements R et 
de deiis d. 

• etape 4. donnees destinees au dispositif controleur : 

Le demonstrateur comporte des moyens de transmission pour transmettre au 
dispositif contrdleur chaque reponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur comporte des cinquiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R» en effectuant des 
operations du type : 

R'= GA GB dB . ... D" mod n 

ou du type : 

R' • GA dA . GB dB . ... = D* mod n 

Le dispositif contrSleur comporte des sixiemes moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ayant comme arguments le 
message m et chaque engagement R% le jeton T\ 

Le dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que le jeton T' est identique au jeton T transmis a 
1'etape 2 par le dispositif demonstrateur. 

Cas d'une signature numerique de message 
Cas ou Pexposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destined a prouver a un controleur la signature numenque d'un message m. 
Comme dans le cas general, la session met en oeuvre trois entites du 
systeme : 

I. Une premiere entite, appelee dispositif temoin, contenues notamment 
dans un objet nomade se presente par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p„ p 2 , ... (p. , ...) (i dtant superieur ou egal a 2) d'un 



module public n tel que n = p t .p 2 . p 3 

Le dispositif temoin comporte 6galement une deuxieme zone memoire 
contenant : 

* des composantes QA 1? QA 2 , ... (QA,, ...), et QB^ QB 2 , ... (QB,, ...), 
repr6sentant des cles privies QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA l5 GA 2 , ... (GA,, .•.) et GBj, GB 2 , (GB,, ..•) 

* un exposant publique de verification v. 

Les paires de cles privies et publiques sont li£es par des relations du type : 
GA.QA T mod n = 1 ou GA = QA T mod n 

II. Une deuxieme entity pouvant Stre contenue notamment dans ledit objet 
nomade, est appelee dispositif de signature. 

III. Une troisieme entite, appelee dispositif controleur se pr6sente sous la 
forme d'un terminal et/ou d'un serveur distant connecte h un r^seau de 
communication informatique. Le dispositif controleur comporte des moyens 
de connexion pour le connecter electriquement, 61ectromagn6tiquement, 
optiquement ou de maniere acoustique au dispositif temoin. 

Pour prouver la signature d'un message, ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

* etape 1. engagement R du temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 

hasard et en prive, a chaque appel, au moins une collection de nombres 

entiers {r^ r 2 , r 3 , ...}, telle que pour chaque facteur premier p ( , chaque 

collection comporte un alea r,positif et plus petit que p. . 

Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 

chaque alea r, a la puissance v ieme modulo p, , pour chaque facteur premier 

Pp 

~- R, = r, v mod p, 
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Ainsi, le nombre d' operations arithmetiques modulo p l a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R, pour chacun des p, 
est reduit par rapport a ce qu'il serait si les operations 6taient effectives 
modulo n. 

Puis, lesdits deuxiemes moyens de calcul du dispositif temoin etablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d' engagements R que de collections d'aleas {r^ r 2 , r 3 , ...}, 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif de signature comporte des troisiemes moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R, au moins une collection de defis d 
{dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de defis d 
est egal au nombre d' engagements R. Chaque collection {dA, dB, ...} 
comprend un nombre de defis egal au nombre de paires de cles. 
Le dispositif de signature transmet les collections de defis d au dispositif 
temoin, 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
revues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D t = r. . QA. aA . QB. dB . ... mod p. 
puis, il applique la methode des restes chinois. 

Le nombre d'operations arithmetiques modulo p x a effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D t pour chacun des 
p x est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 
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Le dispositif temoin comporte des moyens de transmission pour transmettre 
les reponses D au dispositif de signature et/ou au dispositif controleur. 

• etape 4. donnees destinees au dispositif controleur : 

Le dispositif de signature transmet au dispositif contrSleur un message 
signe comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 

- chaque reponse D 

• etape 5. verification par le dispositif controleur : 

Cas ou le dispositif controleur re^oit la collection des defis d, 

Dans le cas ou le dispositif controleur regoit les collections des defis d et 
des reponses D, ledit dispositif controleur comporte des cinquiemes moyens 
de calcul pour calculer a partir de chaque r6ponse D un engagement R' en 
effectuant des operations du type : 

R'= GA dA . GB dB . ..•D v mod n 

ou du type : 

R\ GA dA . GB dB . D T mod n 

Le dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer chaque defi d 5 , en appliquant la fonction de hachage f ayant comme 
arguments le message m et chaque engagement reconstruit R'. 
Le dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque defi d' est identique au defi d figurant dans 
le message sign€. 

Cas ou le dispositif controleur re^oit la collection des engagements R 

Dans le cas ou le dispositif controleur regoit la collection des engagements 
R et des reponses D, ledit dispositif controleur comporte des cinquiemes 
moyens de calcul pour calculer chaque defi d', en appliquant la fonction de 
hachage f ayant comme arguments le message m et chaque engagement R. 
Le dispositif controleur comporte des sixiemes moyens de calcul pour 
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calculer alors la collection des engagements R' en effectuant des operation 
du type 

R'=GA dA .GB dB ....D T modn 

ou du type : 

R' . GA d \ GB ...= D* mod n 

Le dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque engagement R' reconstruit est identique a 
1'engagement R figurant dans le message signe\ 

Paire de cles conferant une securite equivalente a la connaissance de la 

cle privee Q 

Dans le cas de la variante de realisation ci-apres exposee les composantes 
QA„ QA 2 , ... (QA,, ...), et QB„ QB 2 , ... (QB,, ...), ... des cles priv6es QA, 
QB, ... sont des nombres tires au hasard a raison d'une composante QA, , 
QB,, ... pour chacun desdits facteurs premiers p„ lesdites ctes privees QA, 
QB, pouvant £tre calculees a partir desdites composantes QA„ QA 2 , ... (QA, 
, ...), et QB„ QB 2 , ... (QB,, ...), ... par la m6thode des restes chinois. 
Dans le cas de cette variante, le dispositif temoin comporte des huitiemes 
moyens de calcul pour calculer lesdites cles publiques GA, GB, 

• en effectuant des operations du type : 

GA,= QA, v modp, 

• puis en appliquant la m&hode des restes chinois pour €tablir GA tel que 

GA = QA'mod n 

ou bien tel que 

GA.QA" mod n=l 

Le nombre d'op^rations arithmetiques modulo Pl a effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun des 
GA, pour chacun des Pl est reduit par rapport par rapport a ce qu'il serait si 
les operations &aient effectuees modulo n. 

De preference dans ce cas, l'exposant public de verification v est un nombre 



premier. II en resulte que la paire de cles GA, QA confere une securite 
equivalente a la connaissance de la cle privee QA. 

Paire de cles conferant une securite equivalente a la connaissance de la 

factorisation de n 

De preference, Texposant public de verification v est du type 



v=a k 



ou k est un parametre de security. 

De preference egalement, Texposant public de verification v est du type 

v = 2 k 

10 ou k est un parametre de securite, 

Dans ce cas, la cle publique GA est un carr6 gA 2 inferieur k n choisi de 
telle sorte que 1' equation 

x 2 = gA mod n 

n'a pas de racine en x dans Tanneau des entiers modulo n. 
15 Le dispositif temoin comporte des neuviemes moyens de calcul pour 

calculer les dites composantes QA l5 QA 2 , ... (QA. , ...) de la cle privee QA 
en appliquant des formules telles que : 

GA^ QA. 2expfk) mod p. 

ou bien telles que : 
20 GA.QA^modp^l 

et en extrayant la kieme racine carree de GA dans le corps de Galois 
CG( P| ). 

Ainsi, le nombre d* operations arithmetiques modulo p, a effectuer par les 
neuviemes moyens de calcul du dispositif temoin pour calculer chacun des 
25 QAj pour chacun des p, est reduit par rapport a ce qu'il serait si les 

operations etaient effectuees modulo n. 

On demontre que la paire de cles GA, QA confere une securite equivalente 
a la connaissance de la factorisation de n. 

De preference, pour extraire la kieme racine carree de GA dans le corps de 
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Galois CG(p,), on utilise les methodes suivantes : 

- dans le cas ou le facteur premier p, est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

x = (p+l)/4 ;y = x k mod (p-l) ; z = y ; QA, = GA Z mod Pi 

- dans le cas ou le facteur premier p, est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

Objet nomade. Carte bancaire 
La present* invention concerne 6galement un objet nomade permettant de 
mettre en oeuvre le precede ci-dessus expose. 

L'objet nomade selon l'invention se presente, par exemple, sous la forme 
d'une carte bancaire a microprocesseur. II permet de diminuer la charge de 
travail pendant une session destinee a prouver a un serveur contrdleur, 

- 1'authenticite d'une entite" et/ou 

- l'origine et l'integrite d'un message m, 
L'objet nomade fait intervenir trois entites : 

I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin dispose d'une premiere- zone memoire 
contenant des facteurs premiers Pl , p 2 , ... ( p „ ...) (i etant superieur ou egal a 

2) d'un module public n tel que n = p,.p 2 . p 3 Le dispositif temoin 

dispose aussi d'une deuxieme zone memoire contenant : 

* des composantes QA„ QA 2 , ... (QA„ ...), et QB„ QB 2 , ... (QB,, ...), 
.... repr6sentant des cl6s privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA,, ...) et GB,, GB 2 , ... (GB,, ...) 

* des exposants publics de verification vx, vy, ... 

Les cles privies et les cles publiques sont liees par des relations du type : 
GA^QA" mod n = 1 ou GA = QA"mod n 




Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R, = r~ mod p, 
ou r t est un alea tel que 0 < r 5 < p, . 

Ainsi, le nombre d' operations arithmetiques modulo p, h effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R, pour chacun 
des p, est reduit par rapport & ce qu'il serait si les operations 6taient 
effectuees modulo n. 

IL Une deuxieme entite est appelee dispositif pilote dudit dispositif temoin. 
Elle peut etre egalement contenue dans ledit objet nomade. Le dispositif 
pilote est appele : 

* dispositif demonstrates dans le cas de la preuve de Tauthenticite 
d'une entite ou de T authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
l'integrite d'un message, 

III. Une troisieme entity, appelee dispositif controleur, se presente 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique. Le dispositif controleur verifie 
Tauthentification ou l'origine et l'integrite d'un message, 
L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
controleur. 

Le dispositif temoin re?oit du dispositif pilote ou du dispositif controleur un 
ou plusieurs defis d tel que 0<d<vx-let comporte des deuxiemes 
moyens de calcul pour calculer a partir dudit defi d une ou plusieurs 
reponses D en effectuant des operations du type : 

D t = r. . QA. d mod p ( 
ou r ( est un alea tel que 0 < r f < p L 
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Ainsi, le nombre d'operations arithmetiques modulo p, a effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacune des reponses D. 
pour chacun des p, est reduit par rapport a ce qu'il serait si les operations 
etaient effectuees modulo n. 

L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou les dites reponses D. 

Cas ou l'exposant de verification v est unique 
De meme que prec^demmenC l'objet nomade fait intervenir trois entiles : 
I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin dispose d'une premiere zone memoire 
contenant des facteurs premiers Pl , p 2 , ... (p„ ...) (i &ant superieur ou egal 

a 2) d'un module public n tel que n = Pl .p 2 . p 3 L e dispositif temoin 

dispose aussi d'une deuxieme zone memoire contenant 

* des composantes QA,, QA 2 , ... (QA„ ...), et QB„ QB 2 , ... (QB ), 

representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA,, ...) et GB„ GB 2 , ... (GB,, ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 

GA.QA T mod n = 1 ou G A = QA T mod n 
Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R, 

• en effectuant des operations du type : 

R, = r. T mod p, 

ou r, est un entier, tire au hasard, associ€ au nombre premier p„ tel que 0 < 
r i < Pi . appartenant a au moins une collection d'aleas {r^ r 2 , r 3 , ...}, 

• puis en appliquant la methode des restes chinois, 

II y a autant d'engagements R que de collections d'aleas {r„ r 2 , r 3 , ...}, 
Ainsi, le nombre d' operations arithm6tiques modulo p, a effectuer par 
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lesdits premiers moyens de calcul pour calculer chacun des R 1 pour chacun 
des p, est reduit par rapport a ce qu'il serait si les operations 6taient 
effectu£es modulo n. 

II. Une deuxieme entite est appelee dispositif pilote dudit dispositif t6moin. 
Elle peut etre egalement contenue dans ledit objet nomade. Le dispositif 
pilote est appele : 

* dispositif demonstrateur dans le cas de la preuve de F authenticity 
d'une entite ou de F authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de Forigine et de 
Fintegrite d'un message. 

III. Une troisieme entite, appelee dispositif controleur, se presente 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique. Le dispositif controleur verifie 
l'authentification ou l'origine et Fintegrite d'un message. 

L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
controleur. 

Le dispositif temoin re§oit du dispositif pilote ou du dispositif controleur, 
des collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d etant egal au nombre d' engagements R. Chaque 
collection {dA, dB, .;.} comprend un nombre de defis egal au nombre de 
paires de cles. 

Le dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de defis {dA, dB, •..} des 
r^ponses D. A cet effet, 

• il effectue des operations du type : 

Dj = r,. QA, dA . QB, dB . mod p. 

• puis, il appliquant la m^thode des restes chinois. 
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II y a autant de reponses D que d' engagements R et de defis d. 
Ainsi, le nombre d'operations arithmetiques modulo p, a effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacun des D, pour 
chacun des p, est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n. 

L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou lesdites reponses D. 

On va maintenant exposer des variantes de realisation de l'objet nomade 
selon Finvention concernant : 

- le cas d'une authentification d'entite, 

- le cas d'une authentification de message, 

- le cas d'une signature numerique de message. 

Cas d'une authentification d'entite 
Cas oii l'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un dispositif controleur 1' authenticity d'une entite. 
Comme dans le cas general, la session fait intervenir trois entites. 
I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin comporte une premiere zone memoire 
contenant des facteurs premiers Pl , p 2 , ... ( Pi , ...) (i Stant superieur ou egal 

a 2) d'un module public n tel que n = Pl .p 2 . p 3 Le dispositif temoin 

comporte aussi une deuxieme zone memoire contenant : 

* des composantes QA,, QA 2 , ... (QA„ ...), et QB,, QB 2 , ... (QB„ ...), 
.... representant des cles privees QA, QB, ... 

* des ctes publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA., ...) et GB l5 GB 2 , ... (GB,, ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA' mod n = 1 ou GA = QA v mod n 



II. Une deuxieme entite est appelee dispositif demonstrateur du dispositif 
temoin. Elle peut etre £galement contenue dans ledit objet nomade. 
m. Une troisieme entity, appelte dispositif controleur, se pr6sente 
notamment sous la forme d'un terminal et/ou d'un serveur distant connect^ 
k un reseau de communication informatique. 

L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, 61ectromagn6tiquement, optiquement ou de maniere 
acoustique ledit dispositif t&noin et/ou ledit dispositif d6monstrateur audit 
dispositif controleur. 

Pour prouver Tauthenticit^ d'une entity, ledit objet nomade execute les 
etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r,, r 2 , r 3 , ...}, telle que, pour chaque facteur premier p t , chaque 
collection comporte un alea r,positif et plus petit que p, . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour 61ever 
chaque alea r. a la puissance v ierne modulo p. , pour chaque facteur premier 

R, s r; mod p $ 

Ainsi, le nombre d' operations arithmetiques modulo Pj a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R, pour chacun des p { 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n) 

Puis, lesdits deuxiemes moyens de calcul du dispositif temoin etablissent 
chaque engagement R modulo n selon la m^thode des restes chinois. 
II y a autant d' engagements R que de collections d'aleas {r v r 2 , r 3 , ...-}. 

• etape 2. transmission des engagements R et reception des defis d 
destines au dispositiftemoin : 
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L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif contrdleur tout ou partie de chaque engagement R. L'objet 
nomade comporte des moyens de reception pour recevoir des collections de 
delis d {dA, dB, ...} produits par ledit dispositif controleur. 

• &ape 3. reponse du dispositif temoin aux defis d : 

Le dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
recues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D, = r, . QA, dA . QB, dB . ... mod p, 
puis, il applique la m6thode des restes chinois. 

Ainsi, le nombre d'operations arithmetiques modulo p, a effectuer par les 
troisiemes moyens de calcul pour calculer chacun des D, pour chacun des p, 
est reduit par rapport a ce qu'il serait si les operations 6taient effectuees 
modulo n. 

II y a autant de reponses D calculees par le temoin que d'engagements R et 
de defis d. 

• etape 4. donnees destinees au dispositif controleur : 

L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur tout ou partie de chaque reponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur venfie la coherence des triplets {R, d, D} et 
l'authenticite de l'entite controlee. 

Cas d'une authentification de message 
Cas ou l'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un controleur l'authenticite d'un message m. 
Comme dans le cas general, l'objet nomade fait intervenir trois entites : 
I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 




objet nomade,. 

Le dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p l9 p 2 , ... (p, , ...) (i etant superieur ou egal a 2) d'un 

module public n tel que n = p r p 2 . p 3 Le dispositif temoin comporte 

aussi une deuxieme zone memoire contenant 

* des composantes QA l9 QA 2 , ... (QA,, ...), et QB l9 QB 2 , ... (QB,, ...), 
representant des cles privies QA, QB, ... 

* des cles publiques^ GA, GB, ... ayant respectivement pour 
composantes GA l9 GA 2 , ... (GA,, ...) et GB l5 GB 2 , ... (GB., ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA V mod n = 1 ou GA = QA'mod n 

II. Une deuxieme entite, est appelee demonstrateur dudit dispositif temoin. 
Elle peut etre egalement contenue dans ledit objet nomade. 

III. Une troisieme entite appelee dispositif controleur se presente sous la 
forme d'un terminal et/ou d'un serveur distant connecte a un reseau de 
communication informatique. 

L'objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif controleur. 

Pour prouver Tauthenticite d'un message ledit objet nomade execute les 
etapes suivantes : 

* etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r l5 r 2 , r 3 , ...}, telle que, pour chaque facteur premier p t , chaque 
collection comporte un alea r,positif et plus petit que p, . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
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chaque alea r t a la puissance v ieme modulo p, , pour chaque facteur premier 
P.> 

R = r, v mod p t 

Ainsi, le nombre d' operations arithmetiques modulo Pj a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R. pour chacun des Pj 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin dtablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d'engagements R que de collections d'ateas {r l9 r 2 , r 3 , ...}. 

• etape 2. reception des defis d destines au dispositif temoin: 

Le dispositif demonstrateur comporte des premiers moyens de calcul pour 
calculer un jeton T, en appliquant une fonction de hachage f ay ant comme 
arguments le message m et chaque engagement R. L'objet nomade 
comporte des moyens de transmission pour transmettre audit dispositif 
controleur le jeton T. L'objet nomade comporte des moyens de reception 
pour recevoir des collections de defis d {dA, dB, ...} produits par ledit 
dispositif controleur au moyen du jeton T. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
re?ues du dispositif controleur. A cet effet, 
il effectuant des operations du type : 

D, = . QA. dA . QB. dB . ... mod Pi 
puis, il applique la methode des restes chinois. 

Ainsi, le nombre d' operations arithmetiques modulo p l a effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D t pour chacun des p t 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n 
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II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 

* etape 4. donnees destinees au dispositif contrdleur : 

L' objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur chaque reponse D. 

* etape 5. verification par le dispositif controleur : 

Le dispositif controleur v6rifie la coherence des triplets {R, d, D) et 
T authenticity du message m. 

Cas d'une signature numerique de message 
Cas ou Pexposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un controleur la signature numerique d'un message m. 
Comme dans le cas general, l'objet nomade fait intervenir trois entites : 
L Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin comporte une premiere zone memoire 
contenant des facteurs premiers p l5 p 2 , ... (p. , ...) (i etant superieur ou egal 

a 2) d'un module public n tel que n = p,.p 2 . p 3 Le dispositif temoin 

comporte aussi une deuxieme zone memoire contenant : 

* des composantes QA„ QA 2 , ... (QA., ...), et QB l5 QB 2 , ... (QB t , ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA l5 GA 2 , ... (GA., ...) et GB,, GB 2 , ... (GB t , ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA V mod n = 1 ou GA s QA v mod n 

II. Une deuxieme entite est appelee dispositif de signature. Elle peut etre 
6galement contenue dans ledit objet nomade. 

III. Une troisieme entite appelee dispositif controleur se presente sous la 
forme d'un terminal et/ou d'un serveur distant connecte k un reseau de 
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communication informatique. 

L'objet nomade comporte des moyens de connexion pour connecter 
61ectriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et ledit dispositif de signature audit 
dispositif controleur. 

Pour prouver la signature d'un message ledit objet nomade execute les 
Stapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r l9 r 2 , r 3 , ...}, telle que, pour chaque facteur premier p p chaque 
collection comporte un alea i^positif et plus petit que p ( . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r ( a la puissance v ieme modulo p, , pour chaque facteur premier 

Rj = r, T mod p { 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin etablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
Ainsi, le nombre d'operations arithmetiques modulo p. a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des K. pour chacun des p. 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant d' engagements R que de collections d'aleas {r l9 r 2 , r 3 , ...}. 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif de signature comporte des troisiemes moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R, au moins une collection de defis d 
{dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de defis d 
etant egal au nombre^d' engagements R. Chaque collection {dA, dB, ...} 




comprend un nombre de defis egal au nombre de paires de cles. 

Le dispositif de signature transmet les collections de defis d au dispositif 

temoin. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de d6fis d {dA, dB, ...} 
re9ues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

Dj = r, . QA, dA . QB, dB . mod p, 
puis, il appliquant la methode des restes chinois. 

Ainsi, le nombre d' operations arithm6tiques modulo p t k effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D, pour chacun des p ( 
est reduit par rapport k ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant de reponses D calcul6es par le temoin que d' engagements R et 
de defis d. 

L'objet nomade comporte des moyens de transmission pour transmettre les 
reponses D au dispositif de signature et/ou au dispositif controleur. 

• etape 4. donnees destinees au dispositif controleur : 

L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur un message signe comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 

- chaque reponse D 

• etape 5. verification par le dispositif controleur ^ 

Le dispositif controleur verifie la coherence des triplets {R, d, D} et la 
signature numerique du message m. 

Paire de cles conferant une securite equivalente a la connaissance de la 

cle privee Q 
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La paire de ctes GA, QA,... n'a plus de raison d'etre systematiquement 
deduite de l'identite" du temoin, comme dans le cas du precede GQ. 
Dans le cas de la variante ci-apres exposee les composantes QA„ QA 2 , ... 
(QA,, ...), et QB,, QB 2 , ... (QB„ ...), ... des cles priv6es QA, QB, ... sont des 
nombres tires au hasard a raison d'une composante QA, , QB, , ... pour 
chacun desdits facteurs premiers p,, lesdites cl6s privees QA, QB, pouvant 
Stre calculees a partir desdites composantes QA„ QA 2 , ... (QA,, ...), et QB,, 
QB 2 , ... (QB, , ...), par la methode des restes chinois. 

Le dispositif temoin comporte des huitiemes moyens de calcul pour calculer 
lesdites cl6s publiques GA, GB, 

• en effectuant des operations du type : 

GA.= QA/modp, 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA'mod n 

ou bien tel que 

GA.QA T mod n = 1 

Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun des 
GA. pour chacun des p, est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 

De preference, 1'exposant public de verification v est un nombre premier. II 
en r6sulte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la cl6 privee QA. 

Paire de cles conferant une securite equivalente a la connaissance de la 

factorisation de n 

De preference, 1'exposant public de verification v est du type 



v = a k 



ou k est un parametre de securite. 

De preference egalement, 1'exposant public de verification v est du type 



v = 2 k 

oil k est un parametre de securite. 

Dans ce cas, la cle publique GA est un carre gA 2 inferieur a n choisi de telle 
sorte que Tequation 
5 x 2 = gA mod n 

n'ait pas de racine en x dans l'anneau des entiers modulo n 
Le dispositif temoin comportant des neuviemes moyens de calcul pour 
calculer lesdites composantes QA l5 QA 2 , ... (QA, , .,.) de la cle privee QA 
en appliquant des formules telles que : 
10 GA= QA t ^ mod Pi 

ou bien telles que : 

GA .QA^^mod p = 1 

et en extrayant la kiehie racine carree de GA dans le corps de Galois 
CG( Pi ). 

15 Ainsi, le nombre d' operations arithmetiques modulo Pl a effectuer par les 

neuviemes moyens de calcul du dispositif temoin pour calculer chacun des 
QA. pour chacun des Pi est reduit par rapport a ce qu'il serait si les 

operations etaient effectuees modulo n. 

On demontre que la paire de cles GA, QA confere une securite equivalente 
20 a la connaissance de la factorisation de n. 

De preference, pour extraire la kieme racine carree de GA dans le corps de 
Galois CG(p.), on utilise les m6thodes suivantes : 

* dans le cas ou le facteur premier p. est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 

25 algorithme du type : 

x = (p+l)/4 ; y = x k mod (p-1) ; z = y ; QA. = GA* mod p. 

* dans le cas ou le facteur premier p, est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif t6moin appliquent notamment un 
algorithme base sur les suites de Lucas. 
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Terminal ou Serveur distant 
Concept general GQ II 

La presente invention conceme egalement un dispositif de contr61e, se 
pr6sentant sous la forme d'un terminal ou d'un serveur distant connecte a 
un reseau de communication informatique. 

Le terminal ou le serveur selon 1' invention permet de mettre en oeuvre le 
proced6 ci-dessus expose et de diminuer la charge de travail pendant une 
session destinee a verifier : 

- I'authenticite" d'une entite et/ou 

- l'origine et l'lntegrite" d'un message m. 
Le dispositif de controle met en oeuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets p„ p 2 , ... (p,, ...) (i 6tant superieur ou egal a 2) 

n = Pi-P 2 - P 3 

- des cles publiques GA, GB, ... 

- des exposants publics de verification vx, vy, ... 

lesdites cles privees GA et les cles publiques associees QA 6tant liees par 
des relations du type : 

GA.QA™ mod n = 1 ou GA = QA 'mod n 

Le dispositif de contrSle fait intervenir trois entites. 

I. Une premiere entite, appelee dispositif temoin, contenue notamment dans 
un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. Le dispositif t6moin produit des engagements 
R et des reponses D a des defis d. 

II. Une deuxieme entite est appelee dispositif pilote dudit dispositif temoin. 
Elle peut etre contenue notamment dans ledit objet nomade. 

III. Une troisieme entite, appelee dispositif controleur, est contenue dans 
ledit dispositif de controle. 

Le dispositif de contr61e comporte : 



- des moyens de connexion pour connecter electriquement, 
61ectromagn€tiquement, optiquement ou de mani&re acoustique ledit 
dispositif controleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donn£es produites 
par ledit dispositif controleur vers ledit dispositif t6moin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donn^es provenant dudit 
dispositif temoin et/ou dudit dispositif pilote. 

Le dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs d6fis d 
tel que 0 < d < vx - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D refues dudit dispositif temoin et/ou dudit dispositif pilote, des 
engagements R* en effectuant des operations du type : 

R\= GA d . D" mod n 

ou du type : 

R' t . GA d = D™ modn 

- des troisiemes moyens de calcul pour verifier que les triplets {R% d, 
D} sont coherents. 

Cas oij Pexposant de verification v est unique 
De meme que precedemment, ledit dispositif de controle se presente sous la 
forme d'un terminal ou d'un serveur distant connecte a un r6seau de 
communication informatique. II met en oeuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets p v p 2 , ... (p |5 ...) (i etant superieur ou egal k 2) 

n = Pi-Pi* P 3 - 

- des elds publiques GA, GB, ... 

- un exposant public de verification v 

Les cles privees GA et les cles publiques assocides QA sont liees par des 



relations du type : 

GA.QA" mod n = 1 ou GA = QA'mod n 

ledit dispositif de controle fait intervenir trois entites : 

I. Une premiere entite, appelee dispositif temoin, est contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. Le dispositif temoin produit des engagements 
R et des reponses D a des deTis d. 

II. Une deuxieme entity est appelee dispositif pilote dudit dispositif temoin 
Elle peut §tre contenue notamment dans ledit objet nomade. 

III. Une troisieme entite, appelee dispositif controleur, est contenue dans 
ledit dispositif de controle. 

Le dispositif de controle comporte : 

- des moyens de connexion pour connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique ledit 
dispositif contrdleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donnees produites 
par ledit dispositif contr61eur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant dudit 
dispositif temoin et/ou dudit dispositif pilote, 

Le dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis d 
{dA, dB, ...} tels que 0 ^ dA <, v - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D recues du dudit dispositif temoin et/ou dudit dispositif pilote, 
des engagements R' en effectuant des operations du type : 

R' = GA dA . GB dB . ...D ¥ mod n 

ou du type : 

R' • GA dA . GB dB . ... = D* mod n 
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- des troisiemes moyens de calcul pour verifier que les triplets {R% d, 
D} sont coherents. 

Cas d'une authentification d'entite 
Cas ou l'exposant de verification v est unique. 

Dans le cas de cette variante de realisation, la session est destinee a verifier 
Fauthenticite d'une entite. Dans le cas d'une authentification d'entite, le 
dispositif pilote est appele dispositif demonstrateur. 

Pour prouver Fauthenticite d'une entity ledit dispositif de controle execute 
les etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin produit au moins un engagement R a partir d'au moins 
une collection d'aleas {i\, r 2 , r 3 , ...}, telle que, pour chaque facteur premier 
p,, chaque collection cbmporte un al6a r, entier positif et plus petit que p, . 
II y a autant d'engagements R que de collections d'aleas. 

• etape 2. defis produits par le dispositif controleur et destines au 
dispositif temoin : 

Les moyens de reception du dispositif de controle re^oivent tout ou partie 
de chaque engagement R, transmis par le dispositif demonstrateur, et le 
transmettent au dispositif controleur. 

Le dispositif controleur comporte des premiers moyens de calcul pour 
calculer, apres avoir re9u tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, •..} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d est egal au nombre d' engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cles. 

• etape 3. reponse du dispositif temoin aux defis d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
re?ues du dispositif controleur. II y a autant de reponses D que 
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d' engagements R et de d6fis d. 

• etape 4. donnees destinees au dispositif contrdleur : 

Les moyens de reception du dispositif de controle recoivent du dispositif 
demonstrateur chaque reponse D. 

• etape 5. verification par le dispositif contrdleur : 

Le dispositif contrdleur comporte des deuxiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'= GA dA . GB dB . ...D T mod n 

ou du type : 

R' . GA "\ GB ...= D T mod n 

Le dispositif controleur comporte des troisiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis a 1' etape 2 par le dispositif 
demonstrateur. 

Cas d'une authentification de message 
Cas ou l'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particuliere, la session est 
destinee a verifier l'authenticite d'un message m. Dans le cas d'une 
authentification d'un message m, le dispositif pilote est appele" dispositif 
demonstrateur. 

Pour prouver l'authenticite" d'un message m, ledit dispositif de controle 
execute les etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin produit au moins un engagement R a partir d'au moins 
une collection d'aleas {r l9 r 2 , r 3 , ...}, telle que, pour chaque facteur premier 
p,, chaque collection comporte un alea r, entier positif et plus petit que p. . 
II y a autant d'engagements R que de collections d'aleas. 

• etape 2. defis d produits par ledit dispositif controleur et destines 
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au dispositif temoin : 

Les moyens de reception du dispositif de controle re9oivent un jeton T 
calcule et transmis par le dispositif demonstrateur en appliquant une 
fonction de hachage f ayant comme arguments le message m et chaque 
engagement R. 

Le dispositif controleur comporte des premiers moyens de calcul pour 
calculer, apres avoir regu le jeton T, au moins une collection de d6fis d {dA, 
dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de d6fis d est 
egal au nombre d' engagements R. Chaque collection {dA, dB, ...} 
comprend un nombre de defis egal au nombre de paires de cles. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collection de defis d {dA, dB, ...} 
re?ues du dispositif controleur. II y a autant de reponses D calculees par le 
temoin que d' engagements R et de defis d. 

• etape 4. donnees destinees au dispositif controleur : 

Les moyens de reception du dispositif de controle re?oivent du dispositif 
demonstrateur chaque reponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur comporte des deuxiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'- GA d \ GB d \ ...D v mod n 

ou du type : 

R\ GA d \ GB dB . ...= D v mod n 
Le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer un jeton T% en appliquant la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R'. 

Le dispositif controleur comporte des quatriemes moyens de calcul pour 
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comparer et verifier que le jeton 1" est identique au jeton T transmis a 
l'etape 2 par le dispositif dernonstrateur. 

Cas d'une signature numerique de message 
Cas ou l'exposant de verification v est unique 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a verifier la signature numerique d'un message m. Dans le cas 
d'une authentification d'un message m, le dispositif pilote est appete 
dispositif de signature. 

Pour prouver la signature num6rique du message m, ledit dispositif de 
contrSle execute les etapes suivantes : 

• etape 1. engagement R du temoin : 

Le dispositif temoin produit au moins un engagement R a partir d'au moins 
une collection d'aleas {r„ r„ r 3 , ...}, telle que, pour chaque facteur premier 
p,, chaque collection comporte un alea r, entier positif et plus petit que p, . 
II y a autant d'engagements R que de collections d'aleas. 

• etape 2. delis d destines au dispositif temoin : 

Le dispositif de signature calcule, en appliquant une fonction de hachage f 
ayant comme arguments le message m et chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre 
des collections de d6fis d est egal au nombre d'engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cles. 

Le dispositif de signature transmet les collections de defis d au dispositif 
temoin. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, 
...}. II y a autant de reponses D calculees par le temoin que d'engagements 
R et de defis d. 




Le dispositif temoin comporte des moyens de transmission pour transmettre 
les reponses D au dispositif de signature et/ou au dispositif controleur. 

* etape 4. donnees destinees au dispositif contrdleur : 

Les moyens de reception du dispositif de controle regoivent du dispositif de 
signature un message sign6 comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 

- chaque r^ponse D. 

* etape 5. verification par le dispositif contrdleur : 
Cas ou le dispositif contrdleur re^oit la collection des defis d 

Dans ce cas, le dispositif controleur re?oit les collections des ddfis d et des 
reponses D. 

Le dispositif controleur comporte : 

* des premiers moyens de calcul pour calculer k partir de chaque 
reponse D un engagement R' en effectuant des operations du type : 

R'= GA dA . GB dB . ...D v mod n 

ou du type : 

R'. GA dA . GB dB . ...= D v mod n 

* des deuxiemes moyens de calcul pour calculer chaque defi d', en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement reconstruit R', 

* des troisiemes moyens de calcul pour comparer et verifier que 
chaque defi d' est identique au defi d figurant dans le message sign6. 

Cas ou le dispositif contrdleur re^oit la collection des engagements R 
Dans ce cas, le dispositif controleur re?oit la collection dps engagements R 
et des reponses D, 
Le dispositif controleur comporte : 

* des premiers moyens de calcul pour calculer chaque defi d\ en 
appliquant la fonction de hachage f ayant comme arguments le message m 
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et chaque engagement R, 

* des deuxiemes moyens de calcul pour calculer, alors, la collection 
des engagements R' en effectuant des operation du type 

R' = GA d \ GB d '\ ...D v mod n 

5 ou du type : 

R' . GA dA . GB d ' B . ... = D" mod n 

* des troisiemes moyens de calcul pour comparer et verifier que 
chaque engagement R' recoristruit est identique a l'engagement R figurant 
dans le message signed 

10 Paire de cles conferant une securite equivalente a la connaissance de la 

cle" privee Q 

La paire des cles GA, QA, ... n'a plus raison d'etre systematiquement 

deduite de Fidentite du temoin, comme dans le cas du precede GQ. 

Dans le cas de la variante de realisation ci-apres exposee les composantes 

15 QA l5 QA 2 , ... (QA, , ...), et QB„ QB 2 , ... (QB„ ...), des cles privees QA, QB, 

... sont des nombres tires au hasard a raison d'une composante QA,, QB , ... 
pour chacun desdits facteurs premiers p„ lesdites cles privees QA, QB, 
pouvant etre calculees a partir desdites composantes QA 1? QA 2 , ... (QA. , ...), 
et QB,, QB 2 , ... (QB,, ...), ... par la methode des restes chinois, 

20 Le dispositif temoin comporte des moyens de calcul pour calculer les cl6s 

publiques GA, GB, 

• en effectuant des operations du type : 

GA.s QA, v mod P| 

• puis, en appliquant la methode des restes chinois pour etablir GA tel que 
25 GA = QA'mod n 

ou bien tel que 

GA.QA T mod n = 1 

Le nombre d' operations arithm6tiques modulo p, a effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun des 
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GA, pour chacun des p l est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 

De preference, l'exposant public de verification v est un nombre premier. 
On peut demontrer que la paire de cles GA, QA confere une s6curit6 
equivalente k la connaissance de la cl€ priv6e QA. 

Paire de cles conferant une securite equivalente a la connaissance de la 

factorisation de n 

De preference, l'exposant public de verification v est du type 

v = a k 

ou k est un parametre de securite. 

De preference egalement, l'exposant public de verification v est du type 

v = 2 k 

ou k est un parametre de securite, 

Dans ce cas cle publique GA est un carre gA 2 inferieur a n choisi de telle 
sorte que 1* equation 

x 2 = gA mod n 

n'ait pas de racine en x dans Fanneau des entiers modulo n. 
Le dispositif temoin comporte des neuviernes moyens de calcul pour 
calculer les dites composantes QA X , QA 2 , ... (QA, , ...) de la cle privee QA 
en appliquant des formules telles que : 

GA= QA, 2 " p(k) mod p. 

ou bien telles que : 

GA QA, Wk) mod p= 1 
et en extrayant la kieme racine carree de GA dans le corps de Galois 
CG( Pl ). 

Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer par les 
neuviernes moyens de calcul du dispositif temoin pour calculer chacun des 
QA, pour chacun des p, est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 
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On peut demontrer que la pake de cles GA, QA confere une securite 
equivalente a la connaissance de la factorisation de n. 
De preference, pour extraire la kieme racine carr6e de GA dans le corps de 
Galois CG(p,), 

* dans le cas ou le facteur premier p, est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

x = (p+l)/4 ; y b x k mod (p-1) ; z = y ; QA, = GA 1 mod p. 

* dans le cas ou le facteur premier p, est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

On va maintenant decrire de maniere detaillee la presente invention en 
presentant dans une premiere partie les elements mathematiques utilises, 
puis, en developpant dans une deuxieme partie le precede selon l'invention 
appele nouveau precede. 

Premiere partie : elements mathematiques 
1. Congruences 

Dans ce paragraphe, x, y et z sont des entiers naturels. z n'est pas nul. 

La notation « x = y (mod z) » se lit « x est congru a y (mod z) » ; elle est 

6quivalente a « z divise x-y ». 

1.1. Proprietes de base des congruences 

Les quatre lois suivantes sont utiles. 

(Loi A) 

{a =b (modm); x = y (mod m) } 
=» {a±x = b±y (mod ni)\ ax=b.y (mod m) } 

(Loi B) 

{a.x = b.y (modm); a = b (modw); pgcd(a, rri) = 1 } 
=> {x = y (mod m) } 
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(Loi C) 

{a = b (mod m) } <=> {asi^bjt (modmsi) } 

(Loi D) 

= 6 (modr-y); pgcd(r,^) = l } <=> {a = b (modr); a = b (mods) } 

1.2. Theoreme de Fermat 

Lorsque p est un nombre premier, a p = a (mod /?). 
Demonstration. 

La relation est triviale lorsque a est un multiple de p. 

Definissons la suite {X} pour un nombre entier a quelconque appartenant a 
{1,2, 3, 

{X}= = a. Puis, pour z > 1, = a + x i (mod />)} 
Les p— 1 premiers termes sont distincts et non nuls ; ils forment une 
permutation des entiers de 1 k p—1 . 
Calculons le terme pour Findice i+p : 

x i+p= x i + P x * = x i (mod/?) 
Par consequent, la suite {X} est periodique et sa periode est p. 
Selon la loi A, a.2a3a. ... (p-l)a = 1.2.3. ...(/?-l) (mod p) 

Selon la loi B, a p ~ l =1 (mod p) 

Selon la loi A, a p =a (mod p) 

1.3. Theoreme d'Euler 

Lorsque a et n sont premiers entre eux, a^"^ = 1 (mod «). 

La fonction d'Euler est notee par <p(n). C'est le nombre d'entiers positifs 

inferieurs a n et premiers avec n. 

=> Lorsque n est un nombre premier /?, (p(p) = /?— 1. 

=> Lorsque n est le produit de deux nombres premiers distincts p x et p v 

=><p(n) = (p l -l) . (p 2 -l). 

=> Lorsque la factorisation de n est p*. /?/ . p 3 \ 

cp(n)/n = (1-1/p.) . (l-l/p 2 ) . . ... 

1.4. Structure du corps de Galois CG(p) 
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Soit un nombre premier impair p. Soit un nombre entier positif a inferieur a 
p. Definissons la suite {X}. 

{X}= {x l =a. Puis, pour i > 1, jc /+1 = a.x t (mod p)} 
Calculons le terme pour Pindice i+p et utilisons le theoreme de Fermat. 
5 x;+ p = a p .Xi s a.x t = (mod p) 

Par consequent, la periode de la suite {X} est inferieure ou egale a p-1 et 
elle divise Cette periode depend de la valeur de a. Par definition, cette 
periode est appelee « le rang de a (mod p) ». 

*rang(a, p) ~ 1 ( mod P) 

10 Les elements de CG(p) ayant pour rang p-1 sont appeles les « elements 

generateurs de CG(p). » La denomination est due au fait que leurs 
puissances successives dans CG(p), c'est-a-dire, les termes de la suite {X} 
pour les indices de 1 a forment une permutation de tous les elements 
non nuls de CG(p). 

15 Soit un element generateur a de CG(p). Evaluons le rang de l'element d 

(modp) : ce rang s'exprime simplement en fonction de i et de/?-l. 

=> Lorsque i est premier avec p-1, c' est p-1. 

==> Lorsque i divise /?-! , c'est (p-l)/z. 

=> Dans tous les cas, c'est (p-l)/pgcd(p-l, /). 
20 Par consequent, dans le corps CG(p), il y a (p(p-l) elements generateurs ou 

(p est la fonction d'Euler. 

Par exemple, lorsque (p-l)/2 est un nombre premier impair p\ il y a p -1 
elements generateurs, a savoir, 
=> un seul element de rang 1 : c'est 1, 
25 => un seul element de rang 2 : c'est -1, ^ 

=> p-1 elements de rangp\ 

=> p'-l elements de rang 2.p'; ce sont les elements generateurs. 
1.4.1* Fonction exponentielle sur CG(p) 

Lorsque p est un nombre premier impair et que a est un element generateur 
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de CG(p), la transformation « Clever a k la puissance x ieme (mod p) » 
permute les elements non nuls de CG(p). La permutation inverse est definie 
par « prendre le logarithme discret de y en base a dans CG(p) ». 
Lorsque a est un element g£n6rateur de CG(p), 

x\-^ y = a x (mod p) <=> y\-^x = log a (y) dansCG(p) 
1.4.2. Fonction puissance sur CG(p) 

Lorsque p est un nombre premier impair et que v est premier avec p-l , la 
transformation « elever x a fa puissance v ieme (mod p) » respecte le rang 
des elements. Elle permute les elements de CG(p). La permutation inverse 
est definie par une autre transformation « Clever y a une puissance s ieme 
(mod p) » ou p— 1 divise v.s-1. On dit que Texposant s est « inverse de 
Texposant v (mod p— 1). » 

x\-^> y = x v (mod p) <=> yh^ x = y s (mod p) 

1.5. Fonction de Carmichael 

La fonction de Carmichael de n est notee par X(n). C'est la valeur maximale 
du rang (mod ri). 

=> Lorsque n est le produit de deux nombres premiers impairs p x et p v 

=>\(n) = ppcmG^-l./^-l). 

=> Lorsque actb sont premiers entre eux, X(a.b) = ppcm(X(a), X(fc)). 
=>Pour les puissances d'un nombre premier impair p, X(p*) = p e '\ 
=>Pour les puissances de 2, X(2) = 1 ; X(4) = 2; X(2 e ) = 2" 2 . 
=>Dans tous les cas, X(n) divise (p(/i). L'egalite n'intervient que lorsque n 
est premier. 

1.6. Residus quadratiques 

Considerons Tequation jc 2 = c (mod n) oil rentier positif c est inferieur a n et 
premier avec n. 

• Lorsque T equation a des solutions en jc, on dit que c est un residu 
quadratique (mod n). 

• Lorsque T equation n'a pas de solution, on dit que c est un residu non 



60 



quadratique (mod ri). 
L' ensemble des residus quadratiques (mod ri) forme un groupe (mod ri) 
pour la multiplication. En effet, le produit de deux residus quadratiques 
(mod ri) est un residu quadratique (mod ri). En outre, le produit d'un residu 
quadratique (mod ri) par un residu non quadratique (mod ri) est un residu 
non quadratique (mod ri). 

Lorsque n est un nombre premier impair /?, chaque residu quadratique (mod 
p) a exactement deux racines carrees dans CG(p). En effet, soit un element 
generateur a de CG(p) : d (mod p) est un residu quadratique si et seulement 
si i est pair ; ses racines sont alors ±a 2 (mod p). Les elements x et p-x ont le 
meme carre. 

Remarque. Dans CG(p), lorsque (p-l)/2 est un nombre premier impair p\ 
les residus quadratiques (mod p) sont les p'-l elements de rang p' 
completes par T element de rang 1, c'est-a-dire, L 
1.7. Symboles de Legendre et de Jacobi 

Lorsque p est un nombre premier, on peut classer les entiers positifs en 
deux categories : les multiples de p et les nombres premiers avec p. En 
outre, les nombres premiers avec p se classent eux-memes en deux 
categories : les residus quadratiques (mod p) et les residus non quadratiques 
(mod p). 

Legendre a introduit un symbole special note par (c | /?). Le symbole de 
Legendre de rentier positif c par rapport au nombre premier p prend les 
valeurs +1, -1 et 0. 

• (c I P) = 0 lorsque c est un multiple de p. 

• (c I p) = +1 lorsque c est un residu quadratique (mod p). 

• (c | p) = -1 lorsque c est un residu non quadratique (mod p). 

La formule suivante etablie par Euler permet de calculer le symbole de 
Legendre (en assimilant tout naturellement les valeurs -1 et p-Y) ; cette 
formule est encore appelee le « critere d' Euler. » 




(c I p) = c^ m (mod p) 
Le symbole de Jacobi generalise le symbole de Legendre. Les deux 
symboles sont notes de la meme maniere. Connaissant la factorisation de 
rentier impair n, la formule suivante definit le symbole de Jacobi par 
rapport ana partir du symbole de Legendre par rapport a chaque facteur 
premier de n. 

Si n = Pl a .p 2 fi ... , alors (c\ n) = (c\ pfXc | ... 
En d'autres termes, si a et b sont des entiers positifs impairs premiers avec c 
etc\ 

(c | a . b) = (c | a), (c | b) et (c | a) . (c' | a)= (c\ c | a) 
Attention, residus quadratiques et elements avec symbole de Jacobi egal a 
+1 ne coincident pas. 

* Tous les residus quadratiques (mod n) ont un symbole de Jacobi 6gal a +1. 

* La valeur -1 du symbole de Jacobi caracterise exclusivement des residus 
non quadratiques (mod n). 

* Lorsque n n'est pas premier, il y a des residus non quadratiques dont le 
symbole de Jacobi vaut +1 . 

La loi de reciprocity quadratique lie les symboles de Jacobi (jn \ n) el 
(n | m) ou m et n sont deux entiers positifs impairs : Legendre et Euler 
connaissaient cette loi ; Gauss l'a demontree. 

(m | nUn I m) = (-1)^ 
En d'autres termes, le signe change quand metn sont tous deux congrus a 3 
(mod 4). 

Notons la relation : (-1 | ri) = (-l) (n - 1)/2 

En d'autres termes, 

-1 est un residu quadratique mod n lorsque n est congru a 1 mod 4 ; 
-1 est un residu non quadratique mod n lorsque n est congru k 3 mod 4 ; 
Notons enfin la relation : (2 | n) = (-l) (w " i)/8 

En d'autres termes, 
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±2 sont des residus non quadratiques (mod n) lorsque n est congru a 3 ou 5 
(mod 8) ; 

±2 sont des residus quadratiques (mod ri) lorsque n est congru a 1 ou 7 
(mod8). 

1.8. Suites de Lucas 

Considerons liquation du second degre : les coefficients S et P sont 
respectivement la somme et le produit des racines aet 0, lesquelles racines 
sont distinctes lorsque le discriminant A n'est pas nul. 

(x-a).(x -J3) = x 2 - (a+pU +a£ = x 2 -S.x + P 

A = S 2 -4.P=(a-/3) 2 *0 
Les suites de Lucas {U} et { V} sont definies comme suit : les parametres S 
et P sont deux entiersnon nuls tels que S 2 soit different de 4.P ; chaque 
terme est entier parce que les valeurs initiales sont entieres. 

{£/}= {w 0 =0; u x = 1 . Puis, pour / > 0, u i+2 = S.u i+1 - P. u .} 
{F}= {v 0 =2; Vl = S. Puis, pour / > 0, v l+2 = S.v i+l - P.vJ 
Les deux suites admettent la meme equation caract6ristique evoquee ci- 
dessus : x 2 - S.x + P = 0. 

Supposons les expressions suivantes vraies pour les indices i et 

On verifie alors simplement que les expressions sont encore vraies pour 
l'indice i+2. Or, elles sont vraies pour les indices 0 et 1. Par recurrence, 
elles sont done vraies pour tout indice i positif ou nul. 

Par la suite, on utilisera egalement les relations suivantes. Leur 
demonstration est triviale. 

vf-A.u?=4.P i 

Pour doubler l'indice, 

w 2 ./=w/-v/; v 2j =vf-2.P i 
Pour retrancher un a l'indice, 
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= (S.Ui - v,-) / 2 J 3 et v,.! = (S.v, - A.m,-) / 2..P 
Pour ajouter un a l'indice, 

"i+i = ( s - u i +v f -)/2 et v /+1 = (S.v; + A.m,)/2 
Par ailleurs, les racines a et /? s'expriment facilement en fonction de 
S = a + fi etde Va =a-/3. 

« = (5 + VA)/2 et 0 = (S~ VA)/2 

Les expressions de u. et v. en fonction des racines oret /Js'ecrivent encore : 



s+VaY 

2.VA 



2.VA 



Y 



et v, = 



Cs+VaY 



S-JK 



V 



Developpons les polynomes (S + VA) 2 ' fc+1 et (5-VA) 2 * +1 et combinons 
leurs d6veloppements. 



2 2, ^.M2.a+i "~^2.A-*-i •S^"^ C + C9 4.4.1 . S^"^ 2 .A + ... • <S 2 .A^ * + A^" 



/=0 

2 - V 2.A+1 + C 2Jfc+l • ^ ^ + 



i=0 



n 2.k-2 c 3 A *-l 
*-2.*+l A 



1.8,1. Suites de Lucas sur le corps CG(p) 

Lorsque p est un nombre premier impair, p divise les coefficients du 
binomeC^pour i allant de 1 a p— 1. 

En d'autres termes, il ne reste alors qu'un seul terme dans chacune des deux 
expressions ci-dessus. 

2 p '\u p = A ( '~ 1)/2 (mod p\ c'est - a - dire, u p = (A | p) (mod p) 
2 p ~ l .v p =S p (mod/?), c'est -a -dire, v p =S (modp)^ 
Lorsque (A | p) = +1, w p = 1 (mod /?) et v p = S (mod /?) 
Dans ce cas, 

u p _ l =(S.u p -v p )/2.P = 0 (modp) 

v P -i = (S- V p " ) / 2.P = 2 (mod /?) 
Lorsque A est un residu quadratique par rapport a un nombre premier impair 
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p ne divisant ni P, ni S, ni A, les suites de Lucas pour les indices p-1 et p 
sur le corps CG(p) sont exactement dans l'etat initial, c'est-a-dire, l'etat 
pour les indices 0 et 1. La periode des suites de Lucas sur CG(p) divise 
alors p—l. 

Lorsque(A = u p = -1 (mod/?) et v, =5 (mod/,) 
Dans ce cas, 



Puis, 



"p+i = (S.u p +v p )/2 = 0 (mod p) 
v p+l = (S7v p +A.u p )/2 = 2.P (mod /?) 



M P+2 = (Sm p+1 +v p+1 )/2 = P (mod p) 
v p+2 = (S .v p+l + A. Up+l )/2 = S.P (mod p) 
Lorsque A est un residu non quadratique par rapport a un nombre premier 
impair p ne divisant ni P, ni 5, ni A, les suites de Lucas pour les indices p+1 
etp+2 sur le corps CG(p) sont dans l'etat initial multipliS par P. Lorsque P 
est egal a 1, la penode des suites de Lucas sur CG(p) divise alors p+1. 
C'est ainsi que Lucas a decouvert et etablit le theoreme suivant : 
Lorsque p est un nombre premier impair ne divisant ni P, ni 5, ni A, p divise 
«-(A \p)ctu^ ]py 
1.9. Racines carrees dans CG(p) 
1.9.1. Cas ou p est congru a 1 (mod 4) 

Lorsque p est congru a 1 (mod 4), on utilise les suites de Lucas pour 
calculer une racine carree de c (modp). On affecte la valeur c au parametre 
P. Puis, on cherche une valeur du parametre S telle que le discriminant A = 
S - 4.c soit un residu non quadratique (mod p). 

Lorsque A est un residu non quadratique par rapport a un nombre premier p 
impair ne divisant ni c, ni S, ni A, les suites de Lucas pour les indices p+1 et 
p+2 sur le corps CG(p) sont dans l'etat initial multipli6 par c. 
Or, on connait les relations suivantes : vf - A.«? = 4.P'" e t u 2i =uv- 
En d'autres termes, p divise alors qui est 6gal au produit de l^Jpar 
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v ip*w ^ >ar consequent, p divise alors w^,^ ou v^,^. En fait, p ne peut diviser 
V.v2' ildivisedonc 

On obtient done, v ?P+i) / 2 s 4.c (/,+1) 1 2 (mod /?) 

Or, c ip+1),2 =c (mod/?) 

5 Par consequent, le nombre : x -~ v ( p +i)/2 (mod/?) est alors une 

2 

solution £ 1' equation : x = c (mod /?). 
1.9.2. Cas ou p est congru a 3 (mod 4) 

Selon le critere d'Euler, on a : 

c (p-1)/2 sl (mod p ^ cequ idonne, c (p+1)/2 =c (mod p). 
10 Lorsque le nombre premier p est congru k 3 (mod 4), le nombre (p+l)/4 est 

entier ; par consequent, les racines carrees de c dans CG(p) sont alors 
±c ( ' +1)/4 (mod/?). . 

2. Quelques methodes de calcul pratique 
2.1. Algorithme d'Euclide 
IS 2.1.1. Coefficients de Bezout et pged 

Par definition, les coefficients de Bezout de deux entiers positifs x et y sont 
deux entiers k et / definis de maniere unique par : 

0<k<y y 0<l<x et k.x - ly = ±pgcd(;c,.y) 
L' algorithme de division d'Euclide calcule les coefficients de Bezout de 
20 deux entiers positifs et leur plus grand commun diviseur. 

Soient deux entiers positifs x et y tels que x soit plus grand que y. Divisons x 
par y a la maniere d'Euclide pour obtenir un quotient q positif et inferieur 
ou egal a x et un reste r positif ou nul et inferieur a y. 

Soit, 0 < y < x 

25 Par consequent, x = q.y + r avec 0<q<x et 0 < r < y 

A partir des valeurs initiates C 0 = jc et C, = y, considerons les divisions 
successives : 
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jusqu'a: C L _ X =q L .C L +C L+l ou C L+l = 0. 
Les quotients successifs forment la suite {q} qui est ainsi deTmie pour les 
indices i allant de 1 a L. 

Les restes successifs forment la suite {C} qui est ainsi definie pour les 
indices i allant de 0 a L+l. La suite {C} est strictement decroissante de C 0 
jusqu'a C £+1 qui est nul. 

La suite {C} peut encore se definir de la maniere suivante. 

{C}={C 0 = x; Q = y; puis, pour / allant de 1 a L, C I+1 =C W -tf/.Q} 

Dgfinissons maintenant deux autres suites appelees {A} et {B}. 

{A}= {Aq =1; A x = 0; puis, pour / allant de 1 a L, A i+1 = A t _ x + q^} 
{B}= {B 0 = 0; B l = 1; puis, pour i allant de 1 a L, B i+1 = + q t .B t } 

Les premiers termes de la suite {A } sont 

A 0 = 1 , A, = 0, A 2 = 1 , A 3 = q 2 , A 4 = 1 + q 2 . q y ... 

=> La suite [A } est strictement croissante de A 3 a A L+r 

Les premiers termes suivants de la suite {B} sont 

B 0 = 0,B l =l,B 2 = q l ,B,= l+q i .q 2 , ... 

=> La suite {B} est strictement croissante de B 2 a 

En eliminant entre les definitions des suites {A} et {C}, nous obtenons : 

A i .C i+l +A i+1 .C i =A i _ 1 .C i + A i .C i _ l 
Par consequent, la valeur de A t .C i+l + A^.C; est constante pour / allant de 
OaL. 

Puisque A Q .C X + A x .C 0 = y, nous obtenons : A L+l .C L = j/, 
Et, de la meme maniere, B L+1 .C L = x. 

Par ailleurs, remarquons les egalites : x.A 0 ~y.B 0 =x = (-1)°.C 0 

x.A 1 -y.B l =-y = (-l) l .C l 
Supposons la relation vraie pour les indices i-1 et i ; puis, verifions qu'elle 
est vraie pour l'indice z'+l. 

x - A i+i " yA+i = + qi A) - yXB^ + q t JS t ) 

= (x-A^ -y.Bi-0 + qfix.Ai-y.Bi) = (-l)'-^^ -q,.C{) = (-l)' +1 .C i+1 



Par recurrence, pour i allant de 1 k L, xA t - yJB i = (-1)' .Q 
En particulier, on obtient finalement : x.A L - yB L = (-1) L .C L 
Les coefficients de Bezout de x et y sont egaux a A L et fl r 
Le plus grand commun diviseur de x et y est 6gal a C L . 
Exemple. Calculer les coefficients de Bezout de 10 103 et 63 659. 
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63 359=* 


0 





Les calculs sont plus simples que les explications. 

23 320 . 10 103 = 235 601 960 3 701 . 63 659 = 235 601 959 

23 320 . 10 103 - 3 701 . 63 659 = 1 
2. 1.2. Inversion (mod n) 

L'algorithme d'Euclide calcule aussi Tinverse (mod jc). Bien entendu, la 
suite [A] est alors inutile. Lorsque y est positif, que x est plus grand que y et 
que x et y sont premiers entre eux, c'est-a-dire, C £ =pgcd(jc, y) = 1, les 
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notations « y' 1 (mod x) » et « 1/y (mod x) » ont un sens. 

Lorsque L est impair, Finverse de y (mod x) est egal a B L . 

Lorsque L est pair, l'inverse de y (mod x) est egal a x - B L . 

Dans l'exemple ci-dessus, 23 320 est l'inverse de 10 103 (mod 63 659). 

2.2. Charge de travail et methode des restes chinois 

La charge de travail pour « elever x a la puissance v ieme (mod n) » 

depend de la valeur et de la forme binaire de l'exposant v, de la taille de 

l'argument x et de la taille du module n. Dans le cadre de ce memoire, 

l'exposant v est plus petit que le plus petit facteur premier du module n. 

L'utilisation des facteurs premiers p v ... d'un module n diminue la 

charge de travail pour calculer (modn). Plutot que l'operation directe 

« elever x a la puissance v ieme (mod n) », on peut avantageusement elever 

x a la puissance v ieme dans chacun des corps CG(p,), CG(p 2 ), ... c'est-a- 

dire, (mod/;,), (modp 2 ), ... puis, etablir le resultat dans l'anneau Z„, c'est-a- 

dire, (mod n = p x fois p 2 fois ...). Cette maniere de proceder est appelee la 

« methode des restes chinois. » 

2.2.1. Multiplication et carre (mod n) 

En pratique, avec des progranxmes optimises, le rapport entre la charge de 
travail pour un « carre modulo » et la charge de travail pour une 
« multiplication modulo » est environ 0,75. Par exemple, sur le composant 
ST 16601 pour carte a puce, avec une horloge normalisee a 3,579545 MHz, 
le carre modulo pour 512 bits se fait en 150 ms et la multiplication modulo 
en 200 ms. 

Pour effectuer une op6ration « multiplication modulo », on peut multiplier, 
puis, require: l'op^ration de multiplication demanded peu pres autant 
d'effort que l'operation de reduction modulo. 

La multiplication de deux nombres de 512 bits peut se ramener a des 
multiplications de nombres de 256 bits. Chaque nombre de 512 bits s'ecrit 
alors a+2* 6 .b ou a et b sont des nombres de 256 bits.- La multiplication de 
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a+2 .b par c+2 .d amene a calculer les quatre produits a.c, a.d y b.c et b.d. 
En doublant la longueur, on multiplie par quatre la charge de travail pour 
multiplier. Le carre de aV2^ h .b amene a calculer les deux carr£s a\ b 2 et le 
produit a.b. En doublant la longueur, on multiplie par trois la charge de 
travail pour Clever au carre. 

De meme, la multiplication de deux nombres de 512 bits peut se ramener k 
des multiplications de nombres de 171 bits. Chaque nombre de 512 bits 
s'6crit alors £+2 l7l .fc+2 342 .c ou a, b et c sont des nombres de 171 bits. La 
multiplication de a+2 m .b+2 U2 .c par d+2 171 .e+2 342 ./am£ne a calculer neuf. En 
doublant la longueur, on multiplie par neuf la charge de travail pour 
multiplier. Le carr6 de a+2 l7I .fc+2 342 .c am&ne a calculer trois carrSs et trois 
produits. En doublant la longueur, on multiplie par six la charge de travail 
pour elever au carre. 

2.2.2. Elever x a la puissance v ieme (mod n) 

Prenons en exemple la valeur v = 3, puis, la valeur v = 65537. 

Pour v = 3, c'est-a-dire, 2+1, il faut 61ever 1* argument au carrd (mod n), 

puis, multiplier le r6sultat par T argument (mod n). 

Pour v = 65 537, c'est-a-dire, 2 16 +1, il faut elever 1'argument au carre 
(mod n) seize fois de rang, puis, multiplier le resultat par T argument 
(mod n). 

2.2.3. Methode des restes chinois 

Lorsque x et y sont deux entiers positifs premiers entre eux, les calculs 
suivants transforment une representation a une composante (mod x.y) en 
une representation a deux composantes (mod x) et (mod y). 

a x = a x> (mod x) et a y = a^ y (mod y) 
Voyons maintenant comment realiser V operation inverse, c'est-a-dire, 
comment calculer la representation k une composante (mod x.y) connaissant 
la representation a deux composantes (mod x) et (mod y). La technique 
decrite ci-dessous est connue comme la « methode des restes chinois. » 
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Supposons x plus grand que y. Tout d'abord, reduisons x (mod y), puis, 
inversons le resultat (mod y). 

X = {x (mod y) } _1 (mod y) 
Ensuite, reduisons la composante a x (mod y). 

a' x = a x (mod y) 

Le resultat cherche s'obtient alors par Tune des deux formules suivantes. 
Lorsque a y est superieur ou egal a a ' x , 

a „y= {A.(a y -a \) (mod y) } . x + a x 
Lorsque a y est inferieur a a ' x9 

a^ y = {A.(a y + y -a\) (mody)}. x + a x 
Dans le cadre de ce memoire, Texposant v est plus petit que le plus petit 
facteur premier du module n. II n'y a done pas done de reduction de 
Texposant v en fonction des differents facteurs premiers du module n. Par 
rapport au calcul direct de « elever jc a la puissance v ieme (mod n) » ou 
T argument x et le module n ont la meme taille, la methode des restes 
chinois divise la charge de travail 

- par deux lorsque le module n a deux facteurs premiers p x et p 2 de meme 

taille, 

- par trois lorsque le module n a trois facteurs premiers p v p 2 et p 3 de meme 
taille, 

et ainsi de suite. 

On peut generaliser la methode precedente ; ainsi, la procedure suivante 
calcule x v (mod n) pour un exposant v = 2' + + ... + ou chaque bit 

de V..J a v 0 vaut 0 ou 1 . 

1 . Donner a y la valeur x. 

2. Repeter la sequence suivante pour k allant de i— 1 a 0. 

Remplacer y par y 2 (mod ri). 

Si le bit v k vaut 1 , remplacer y par x.y (mod n). 

3. Le resultat cherche est y. 
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Selon la procedure precedente, le calcul peut se faire par log 2 (v) carres (mod 
n) entrelaces avec h(v) multiplications (mod n). La notation h(v) reprSsente 
un de moins que le poids de Hamming de v, c'est-a-dire, que Tecriture de v 
en binaire comporte h(v)+l bits a 1. 

Pour un module n de 512 bits, cela signifie log 2 (v) carr6s (mod n sur 512 
bits) et h(v) multiplications (mod n sur 512 bits). 

Pour un module n de 256 bits, cela signifie log 2 (v) carr6s (mod n sur 256 
bits) et h(v) multiplications (mod n sur 256 bits). 

Pour un module n de 171 bits, cela signifie log 2 (v) carres (modn sur 171 
bits) et h(v) multiplications (mod n sur 171 bits). 
2.3. Calcul du symbole de Jacobi 

Le calcul du symbole de Jacobi d'un entier positif k par rapport a un entier 
positif impair n plus grand que k se deroule selon la procedure suivante qui 
utilise cinq variables appelee jc, y, z, e et J. Cette procedure n'utilise pas la 
decomposition de n en facteurs premiers. 

• La variable x est positive et impaire, strictement decroissante a partir 
de la valeur initiale n. 

• La variable y est positive et inferieure a jc, strictement decroissante a 
partir de la valeur initiale k. 

• La variable z est positive, impaire et inferieure a y. 

• La variable e est Texposant du facteur 2 extrait de y. Seule sa parite 
doit etre evaluee. 

• La variable J vaut +1 ou -1 en partant de la valeur initiale +1 . 
Calcul pratique de (k \ n) avec k positif et n impair et plus grand que k 

1 . Donner a x la valeur n ; donner a y la valeur k ; donner a / la 
valeur +1. 

2. Decomposer y en z.T ou z est impair et positif et e positif ou nul. 

(y \x) = (z. T | x) = (z I x) . (2 | x) e 
=» Si e est impair et si x - 3 ou 5 (mod 8), changer le signe de 7. 
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3. Appliquer la loi de reciprocite quadratique sur z et x qui sont tous 
deux impairs. 

(z \x) = (x | z).(-l)™ ( *- m 
Si * et z = 3 (mod 4), changer le signe de 7. 
5 4. Reduire jc qui est toujours plus grand que z. 

Remplacery parx (modz). 
RemplacerArparz. 
5. Si x est plus grand que 1 , revenir a l'6tape 2. 

Si x est egal a 1, alors le symbole de Jacobi vaut J et k et n sont 
10 premiers entre eux. 

Si x est mil, alors le symbole de Jacobi est nul et le pgcd de k et n 
est 6gal a z. 

Exemple. Calculer (10 103 | 63 659), c'est-a-dire, (2777 | F8AB) en 
notation hexadecimale. 
15 On retrouve les divisions successives de l'algorithme d'Euclide et le calcul 

du pgcd. Le d6calage de ligne materialise l'extraction du facteur 2. Le 
symbole « * » materialise le changement de signe de J. 
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Par consequent, (10 103 | 63 659) = -1. 
2.4. Racines carrees sur le corps CG(p) 

Lorsque c^ m (mod p) vaut +1, l'equation x 1 = c (mod p) a deux solutions 
dans le corps de Galois CG(p) ; ces deux solutions sont appel6es « racines 
carrees de c (mod p) ». 

2.4.1. Cas ou le nombre premier p est de la forme 4.i+3 

Ce cas est simple. Lorsque p est congru a 3 (mod 4), (p+l)/4 est un nombre 
entier ; les deux racines carrees de c (mod p) sont alors x = ±c^ Iy4 (mod p). 

2.4.2. Cas ou le nombre premier p est de la forme 4J+1 

II faut d'abord trouver une valeur convenable du parametre 5, c'est-a-dire, 
une valeur telle que A = S 2 -4.c soit un residu non quadratique (mod p). On 
ne connait pas d' autre fa?on de proceder que par essais successifs. En 
pratique, on part de 5 = 1, puis, on fait croTtre la valeur de S. 
Puis, les relations suivantes sont utilisees pour calculer les suites [U] et {V} 
ensemble- 
Pour doubler Tindice, u 2J = u i .v i ; v 2 i = vf - 2.c* 
Pour ajouter 1 a Tindice, u M = (Sjug + v t )/2; v /+1 = (A. W/ + S.V; )/2 
La procedure utilise trois variables : x pour w., y pour v ( .et z pour c\ L'indice 
cible est (p+l)/2 ; il est code par une sequence de j bits. Cette sequence est 
examinee du bit de poids fort au bit de poids faible 

1. Donner a x la valeur 0 ; donner a y la valeur 2 ; donner a z la 
valeur 1 . ^ 

2. Rdpeter j fois la sequence suivante. 

Remplacer x par x.y (mod p). 
Remplacer y par y 2 -2.z (mod p) 
Remplacer z par z (mod /?). 
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Si le j ieme bit codant l'indice cible vaut 1, executer la 
sequence suivante. 

Remplacer t par x. 
Remplacer x par (S.t + y)/2 (mod p). 
Remplacer 3; par (S.t + A.y)/2 (mod p) 
Remplacer z par z.c (mod p). 
3. Remplacer y par y/2 (mod p). Le resultat cherche est y. 
2.5. Carre et racine carree dans Q„ 

Dans ce paragraphe, le module n est le produit de deux facteurs premiers p x 
et p 2 congrus a 3 (mod 4). Dans ce cas, (p,+l)/4 et (p 2 +l)/4 sont des 
nombres entiers. 

Definissons la notation « (mod* n) ». Cette operation consiste a calculer 
normalement le resultat x (mod n), puis, a garder x ou n-x, le plus petit des 
deux, comme resultat final. 

Lorsque le module n est le produit de deux facteurs premiers p t et p 2 

congrus a 3 (mod 4), d6finissons la notation « Q n ». C'est Tensemble des' 

elements de l'anneau des entiers (mod n) qui sont plus petits que n/2 et dont 

le symbole de Jacobi par rapport a n vaut +1. L'ensemble Q n a une structure 
d'anneau. 

Considerons une premiere transformation definie par « elever un element x 
de Q„ au carre (mod* n) ». Le resultat y appartient egalement a Q„. 

y = x 2 (mod * n) 

Considerons une deuxieme transformation definie par « elever y a la 
puissance (p,+l)/4 (mod />,) », puis, « elever y a la puissance (p 2 +l)/4 
(mod/? 2 ) », avant d'utiliser la methode des restes chinois pour etablir le 
resultat z (mod* n). Lorsque p x est plus petit que p v les calculs sont tres 
precisement les suivants. 

y x *y (mod p l ); z x = +1 ) /4 (mo d Pl ) 
y 2 =y(modp 2 ); z 2 =^ +1 > /4 (mod Pl) 
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z'=z 2 (mod/?!); Si z x >z\ z"=z x -z\ Sinon, z"=z l + p x -z y 
A={p 2 (mod/?!)}" 1 (mod/?!); 
z x 2 = fy.z" (mod p Y )}/? 2 + ^2 5 z = z i,2 ( m od * n) 
Ces deux transformations sont inverses Tune de F autre. Leur produit est 
Fidentite parce que le resultat z r^tablit le nombre x de depart. Ce sont deux 
permutations, inverses Tune de F autre, des Elements de Q n . 
La premiere permutation calcule « le carre y dans Q n de F el&nent x de 
Q„ »• 

La deuxieme transformation calcule done « la racine carree x dans Q n de 
F Element y de Q n ». 

Par la suite, on aura besoin de la « k ieme racine carree de y dans Q n , » 
e'est-a-dire, de la solution x dans Q n a F equation : 

y = x (mod * ri) 

Plutdt que d'extraire k racines carrees de rang dans Q n , il vaut mieux 
proceder « globalement » de la maniere suivante. Cette remarque fut faite 
en son temps par Oded Goldreich. 

y x =^(mod/?!); z = (/7 1 +l)/4; / = z k (mod p x -1); x x = y{ (mod/?!) 
y 2 = ^(mod p 2 y, ^ = (p 2 +1 ) /4 ; * = (mod/? 2 -1); x 2 = y 2 (mod/? 2 ) 
x'=x 2 (mod/?i); Si x l >x\ jt'^xj-jc*; Sinon, jc"= Xi + p x - x' 
Ah{p 2 (mod/?i)} _1 (mod 
*i,2 - (mod /?! )}/? 2 + x 2 ; x = x lf2 (mod * «) 
2.6. Nombres de Williams et Racine carree de 4 dans Q rt 
Hugh C. Williams a decouvert Fint€ret cryptographique des modules n, 
produits de deux facteurs premiers p l et p 2 tels que p x soit congru a 3 (mod 
8) et p 2 a 7 (mod 8). 

Lorsque le module n est le produit de deux facteurs premiers p x et p 2 tels que 
/?, soit congru a 3 (mod 8) et p 2 k 7 (mod 8), on obtient (2 | /?,) = -1 et (2 | 
/? 2 ) = +1, e'est-a-dire que 2 est un residu non quadratique (mod /?,) et un 
residu quadratique (mod p 2 ) ; done, ni 2 (mod n), ni -2 (mod n) 



n'appartiennent a Q n . 

Par la suite, a denotera la racine carr6e de 4 dans Q n . Cette racine est 
representee par les composantes : a x = -2 (mod p,) et (^=2 (mod p 2 ) ou 
bien par a, = 2 (mod p,) et <^«-2(mod p 2 ) ; c'est l'element dont la 
representation (mod n) est plus petite que n/2. 
II y a alors equivalence entre 

la connaissance du nombre aret 

la connaissance de la factorisation du module n. 
Demonstration. 

D'une part, etant donne a, le module n divise d-A ; mais le symbole de 
Jacobi de a par rapport a n vaut +1 alors que celui de 2 vaut -1 ; le module 
n ne divise done ni or-2, ni a+2. Par consequent, le facteur premier p 2 est le 
plus grand commun diviseur de n et a-2 ; le facteur premier p x est le plus 
grand commun diviseur de n et ar+2. 

D' autre part, etant donnes les facteurs premiers p, et p 2 , la racine carree de 4 
dans Q„ est representee par les composantes : a, = -2 (mod p x ) et a, s 2 
(mod p 2 ), ou bien, a x = 2 (mod p,) et = -2 (mod p 2 ). Selon les restes 
chinois, on reconstruit a. 

Shafi Goldwasser, Silvio Micali et Ronald Rivest ont introduit la paire de 
fonctions {F 0 ; F,} sur Q n . 

F 0 (x) =x (mod* n) et F,(jc) = 4jc 2 (mod* ri) 
Cette paire de fonctions permute les elements de Q n . 

Une « collision » est definie par deux elements x et y de Q B tels que F 0 (x) = 
F,(y). Connaitre une collision equivaut a connaitre les facteurs premiers du 
module n. La demonstration est semblable a la demonstration ci-dessus. Par 
consequent, cette paire de permutations resiste aux collisions pour qui ne 
connait pas les facteurs premiers p, et p 2 du module n. 
Nous disposons done de tous les ingredients necessaires a une 
demonstration de la connaissance de la factorisation d'un module public n 
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sans en transferer la connaissance. 

Deuxieme partie : nouveau procede 
1. Expose du nouveau procede 

Le procede est destin6 a prouver Torigine et l'intdgrite d'un message 

num^rique m, lequel message peut etre vide. Ce procede permet 

1' authentication d'entit6, Tauthentification de message ou la signature de 

message. 

1.1. Parametres 

Le procede met en uuvre un premier ensemble de nombres entiers, a savoir, 
au moins deux facteurs premiers not6s par p t p 2 p 3 ... Certains facteurs 
premiers peuvent apparaitre plusieurs fois. Le produit des facteurs premiers 
forme un module public n-p x - p 2 (. p 3 ...)• 

un jeu de « parametres des restes chinois » notes. A A A .... II v a un 
parametre de moins que de facteurs premiers. 

Attention, il y a plusieurs jeux de parametres « equivalents. »Supposons 
que 

les grands nombres premiers sont ranges dans Tordre croissant, 
s'il y a trois nombres premiers, p 3 est plus petit que p x fois p 2 , 
s'il y a quatre nombres premiers, p A est plus petit que p x fois p 2 fois p v 
et ainsi de suite. 

Dans ce cas, voici un exemple de jeu de parametres des restes chinois. 



Et ainsi de suite. 

Le proc6d6 met en uuvre un deuxi&me ensemble de nombres entiers, h 
savoir, au moins un exposant public de verification note par v, et, pour 
chaque exposant v, au moins une paire de cles selon la presente invention 
comprenant une cl6 privee notee par Q et une cle publique not€e par G. Une 



K = (Pi (mod p x ))" (mod p x ) 
h =((Pi P2 (mod P{Sf l (mod p 3 ) 
^c-((P\'P2'P3 (mod p 4 ))~ l (mod p 4 ) 



des deux relations suivantes lie chaque paire de cles selon la presente 
invention par les nombres v et n. 

GQ V = 1 (mod n) ou bien G = Q V (mod n) 
En l'absence de toute ambiguity, en particulier, s'il y a un seul exposant 
public de verification v, on utilise la notation (G, Q\ puis, si besoins est, 
(GA, QA), (GB, QB), (GC, QQ, ... 

Avec plusieurs exposants publics de verification vx vy vz on utilise en 
outre la notation (Gx, Qx), (Gy, Qy), puis, si besoins est, (GjcA, QxA), 
(GxB, QxB), ... (GyA, QyA), (GyB, QyB), ... 

En pratique, chaque cle privee Q n'est jamais utilisee telle quelle. 

On utilise uniquement un jeu de composantes Q x Q 2 Q 3 une 
composante par facteur premier. 

Qi=Q (mod pi); Q 2 =Q (mod p 2 ); Q 3 =Q (mod p 3 ); 

et ainsi de suite. 

Par la methode des restes chinois, on pourrait retablir chaque cle privee Q a 
partirdujeude composantes Q t Q 2 Q 3 ..... En pratique, il n'y a jamais lieu 
de retablir les cles privees Q. 

Qa =Qi (mod pj); 
Si Qi>Q a , Q a =Qi-Q a ; Sinon, Q" a =Q l + Pl -Q a ; 

01,2 = faa-Qa (mod Pl )}p 2 + Q 2 ; 
Qb -Q\,2 (mod/7 3 ); 
Si Q 3 ^ Q b , Q b =Q3-Qh Sinon, Q b = Q 3 + p 3 -Q b ; 
01,2,3 = ty-b Qb (mod p 3 ) )p x .p 2 + Q l 2 ; 
Et ainsi de suite. Qcst6galkQ l23 
1.1.1. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la cle privee Q 

Les composantes Q l Q 2 Q 3 ... sont des nombres pris au hasard tels que 
0 < Qi < Pi* Q<Q 2 <P 2 , 0 < Q 3 < p v ... U y a une composante par facteur 
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premier. En pratique, pour reduire la charge de travail, on choisit des 
composantes Q. « courtes », c'est-a-dire, de l'ordre de grandeur de la 
racine troisieme ou quatrieme du facteur premier p.. 

Note. L'ensemble de ces composantes represente une cle priv6e Q. La cle 
privee Q n'est jamais utilisee telle quelle. 

Q a =Ql (mod /?! ); 

Si Qi^Qa, Q a =Qi-Q a \ Sinon, Q^Qi+Pi-Q'a, 

£l,2 s rV0a (™>d Pl)}p2 + e 2 ; 

Qb -Q\,2 (modp 3 ); 
Si Qi^Qi Qb=Q3-Qb\ Sinon, Q b = Q 3 + p 3 - Q b \ 

= W Qb (mod P3 ) }pi P2 + Qi,2 ; 

Et ainsi de suite. Q est egal a 0/1,2,3, 
La eld publique G est la puissance v ieme de Q (mod n) ou bien son inverse 
(mod n). 

G=Q" (mod n) ou bien G = {Q" (mod n) }"' (mod n) 

Note. En pratique, pour calculer le nombre G, on eleve chaque nombre Q t a 
la puissance v ieme (mod p), ... , puis, on utilise la methode des restes 
chinois pour etablir le resultat (mod n) ou son inverse (mod n). 

G X =Q\ (mod A ); 
G2-Q2 (xnodp 2 ); G a = G 2 (mod p{); 
Si G x > G a , G a - G x ~G a ; Sinon, G a = G x + Pl - G a y 
G i.2-\^a G "a (mod P0\p2+G 2 ; G b h G u (modp 3 ); 

G 3 =G% (mod/7 3 ) 
Si G 3 > G b , G b = G 3 -G b ; Sinon, G^ = G 3 + /7 3 -G^; 

G l,2.3 =K G * ( mod P3))pi P2 +< ^1,2; 
Et ainsi de suite. G est egal a G x 2 , 3> ou bien, a son inverse (mod n). 

Lorsque le nombre entier v est premier, on assure la propri6te" de s6curite 

annonc6e. 



80 



1.1.2. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la factorisation de n 

L'exposant public de verification v est egal a 2\ Le nombre entier k est un 
parametre de securite plus grand que 1. La valeur k = 1 est interdite. 
Chaque nombre g est un entier inferieur au plus petit facteur premier. En 
outre, pour au moins un facteur premier p, 1'equation x 2 = g (mod p) n'a pas 
de racine en x dans CG(p). 

Note. Cette construction assure que le nombre g est un residu non 
quadratique (mod ri). 

Note. En pratique, on utilise pour g les nombres 2, 3, 5, 6, ... en eliminant 
bien s»r les carres tels que 4, 9, ... 

Note. II n'est pas recommande d'utiliser 6 en meme temps que 2 et 3 parce 
qu'ils se combinent par multiplication. On dit qu'ils ne sont pas 
« independants. » II vaut mieux utiliser 2 et 3 et « laisser tomber 6. » 
Pour chaque nombre g, la cle publique G est egale a g 2 . 
Pour chaque nombre g 7 chaque composante Q l Q 2 Q 3 ... est la k ieme 
racine carree de G dans CG(p) qui est un residu quadratique dans CG(p). II 
y a une composante par facteur premier. 

Exemple de calcul de la k ieme racine carree quadratique de G dans CG(p) 
On pourra utilement consulter l'appendice 3, « Quadratic Residues », pp. 
278-288, dans Touvrage « Prime Numbers and Computer Methods for 
Factorization », Hans Riesel, Birkh% 0 user, Boston, Basel, Stuttgart, 1985. 
Pour chaque facteur premier p congru a 3 (mod 4), on Sieve k fois de rang G 
a la puissance (p+l)/4 pour obtenir la k ieme racine carr6e quadratique de G 
dans le corps CG(p) ; puis, on inverse ou non le resultat (mod p) pour 
obtenir la composante Q. pour le facteur premier p.. 

Note. Plut6t que d'extraire k racines carrees successivement, on peut 
proceder de maniere globale. 



x = (p + l)/4; y = x k (modp-1); z = p-\-y; Q p =G z (mod/?); 
par consequent, pdivise GQ p -1. 

ou bien, 

x=(/> + l)/4; y = x k (mod/?-l); z = y\ Q p =G z (mod p); 
par consequent, pdivise Q p -G. 
Pour chaque facteur premier p congru a 1 (mod 4), on utilise les suites de 
Lucas pour extraire les racines carrees successives, jusqu'a obtenir la k ieme 
racine carree de G dans le corps CG(p), avant d'inverser ou non le resultat 
(mod p) pour obtenir la composante Q. pour le facteur premier p r 

Par consequent, pdivise GjQ% -1 oubien, Q p * -G. 
Les cles G et Q sont deux residus quadratiques (mod ri). La paire de cles 
selon la presente invention verifie Tune des deux relations suivantes. 

GQ* = 1 (mod ri) ou bien, Q z = G (mod n) 
Exemples de paires de cles selon la presente invention et de contraintes 
sur les facteurs premiers 

On peut utilement consulter le chapitre 3, « Quadratic Residues », pp. 35- 
46, dans l'ouvrage « Introduction to Number Theory », Hua Loo Keng, 
Springer Verlag, Berlin, Heidelberg, 1982. 

❖ (2 | p) = +1 lorsque p est congru a ±1 (mod 8). 
(2 | p) = -1 lorsque p est congru a ±3 (mod 8). 

Pour utiliser g = 2, c'est-a-dire, la cle publique G = 4, il suffit qu'un 
facteur premier soit congru a ±3 (mod 8). Alors, le nombre 2 est un 
residu non quadratique modulo n. 

* (3 I P) = +1 lorsque p est congru a ±1 (mod 12). 
(3 I p) = -1 lorsque p est congru a ±5 (mod 12). 

Pour utiliser g = 3, c'est-a-dire, la cle publique G = 9, il suffit qu'un 
facteur premier soit congru a ±5 (mod 12). Alors, le nombre 3 est un 
residu non quadratique modulo n. 
♦> Le nombre g = 4 est un carre ; il n'est done pas utilise. 



❖ (5 | p) = +1 lorsque p est congru a ±1 (mod 5). 
(5 | p) = -1 lorsque p est congru a ±2 (mod 5). 

Pour utiliser g = 5, c'est-a-dire, la cle publique G = 25, il suffit qu'un 
facteur premier soit congru a ±2 (mod 5). Alors, le nombre 5 est un 
residu non quadratique modulo n. 

❖ (6 | p) = +1 lorsque p est congru a ±1 ou ±5 (mod 24). 
(6 I p) = -1 lorsque p est congru a ±7 ou ±1 1 (mod 24). 

Pour utiliser g = 6, c'est-&-dire, la cle publique G = 36, il suffit qu'un 
facteur premier soit congru a ±7 ou ±1 1 (mod 24). Alors, le nombre 6 
est un residu non quadratique modulo n. 

❖ (7 I p) = +1 lorsque p est congru a ±1, ±3 ou ±9 (mod 28). 
(7 I p) = -1 lorsque p est congru a ±5, ±1 1 ou ±13 (mod 28). 

Pour utiliser g = 7, c'est-a-dire, la cle publique G = 49, il suffit qu'un 
facteur premier soit congru a ±2 (mod 5). Alors, le nombre 7 est un 
residu non quadratique modulo n. 
Note. Tous les temoins peuvent utiliser le meme jeu de cles publiques GA, 
GB, GC, GD, ... , par exemple, 4, 9, 25 et 49, moyennant des contraintes 
elementaires sur la selection des facteurs premiers. Ces contraintes sont 
pratiquement gratuites lorsqu'elles sont integrees aux procedures de 
production des facteurs premiers. 
1.1.3. Generalisation de la structure precedente 

Le nombre a est un nombre impair. II doit diviser au moins un facteur 
premier moins un. 

Note. En pratique, on donne au nombre a les valeurs des nombres premiers 
a partir de 3, soit : 3, 5, 7, 11, ... 

L'exposant public de verification v est egal a a. Le nombre entier k est un 
parametre de securite plus grand que 1. La valeur k = 1 est interdite. 
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Chaque nombre g est un entier inferieur au plus petit facteur premier. En 
outre, pour au moins un facteur premier p tel que a divise p-l, liquation 
x fl = g (mod p) n*a pas de racine en x dans CG(p). 

Note. Cette construction generalise les residus non quadratiques (mod n). 
Par exemple, dans le cas a = 3, on dit que le nombre g est un r6sidu non 
cubique (mod n). Dans le cas g6n6ral, on parle de residu non a dique (mod 
n). 

Note. En pratique, on donne au nombre g les valeurs 2, 3, 4, 5, ... en 

eliminant les puissances a iemes. 

Pour chaque nombre g, la cl6 publique G est 6gale a g\ 

Pour chaque nombre g, chaque composante Q x Q 2 Q z ... est la k ieme 
racine a ieme de G dans CG(p) qui est un residu a dique dans CG(p). II y a 
une composante par facteur premier. 

Exemple de calcul de la k ieme racine troisieme de G dans CG(p) qui est un 
residu cubique dans CG(p). 

Pour chaque facteur premier p congru a 2 (mod 3), on eleve k fois de rang G 
a la puissance (p-2)/3 pour obtenir la k ieme racine a ieme de G dans le 
corps CG(p) ; puis, on inverse ou non le resultat (mod p) pour obtenir la 
composante Q. pour le facteur premier p r 

Note. On peut proceder de maniere globale pour acceder directement au 
resultat cherche. 

x = (/>-2)/3; y = x k (modp-1); z = y\ Q p = G z (mod p); 
par consequent, p divise Q p -G. 
x = (p-2)/3; y = x k (modp-1); z = p-l-y; Qp= G z (mod p); 
par consequent, p divise G.Q p -1. 

Pour chaque facteur premier p congru a 1 (mod 3), 

p divise G.Q% -1 ou bien Q 3 p -G. 

1.2. Entites 



Le procede met en uuvre les trois entites suivantes. 

Une premiere entite temoigne ; elle est appelee temoin. 

Le temoin dispose d'au moins deux facteurs premiers p t p 2 p 3 ... 

Le temoin dispose egalement d'un jeu de parametres des restes chinois A a 

A b ... ; chaque parametre peut etre calcule a l'avance ou bien retabli a 

chaque appel au temoin, selon les compromis en termes de calcul et de 

memoire. 

Le temoin dispose de Fexposaht public de verification v. - 
Le temoin dispose egalement d'au moins un jeu de composantes QA X QA 2 
QA Z QB X QB 2 QB 3 ... ; chaque composante peut etre calculee a 
Tavance ou bien retablie a chaque appel au temoin a partir des cles 
publiques GA, GB, ... et des facteurs premiers p t p 2 p 3 ... selon les 
compromis en termes de calcul et de memoire. 

Note. Chaque jeu de composantes Q x Q 2 Q 3 ... represente une cle privee 
Q. Chaque paire de cles selon la presente invention est liee aux nombres v et 
n par Tune des deux relations suivantes. 

GQ V = 1 (mod n) ou bien G = Q V (mod ri) 
Note. Le temoin n' utilise ni le module public n, ni la cle privee Q. 
Une deuxieme entite pilote le temoin. 

S'il s'agit d'une authentication, c'est-a-dire, d'une preuve interactive de 
connaissance, Tentite qui pilote le temoin est appelee demonstrateur. 
En cas d'authentification d'entite, le demonstrateur n'a pratiquement rien a 
faire. 

En cas d'authentification de message, le demonstrateur dispose d'une 
fonction de hachage f. 

S'il s'agit d'une signature numerique de message, c'est-^-dire, d'une preuve 
non interactive de connaissance, l'entite qui pilote le temoin est appelee 
signataire ; le signataire dispose de l'exposant public de verification v et 
d'une fonction de hachage f. 
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Une troisieme entite verifie ; elle est appelee controleur. Selon le cas, le 
contrdleur verifie l'authentification ou la signature ; il dispose du module 
public n, de 1' exposant public de verification v, des cles publiques GA y GB, 
... et de la fonction de hachage f. 
1.3. E tapes 

Le precede comporte les etapes suivantes. 
Etape I. Engagement du temoin 

• A chaque appel, pour chaque exposant public de verification vx vy vz 

le temoin tire au hasard et en prive au moins un jeu de nombres entiers : 
pour chaque facteur premier p., chaque jeu comporte un nombre entier r. 
positif et plus petit que p r Ces nombres entiers sont ensuite appeles les al£as 

r i r i r z 

0<r l <p l ; 0<r 2 <p 2 ; 0<r 3 <p 3 ; 

• Pour chaque exposant public de verification vx vy vz et pour chaque 
facteur premier p p le temoin eleve chaque alea r. a la puissance v ieme (mod 

R x =rj v (mod p{)\ R 2 = r 2 (mod p 2 )\ R 3 = r 3 (mod p 3 ); 

• Puis, le temoin etablit chaque engagement R (mod n) selon la methode des 
restes chinois. 

R a '=R 2 (mod Pl )\ 
Si Ri>R a \ R a "=R x -R a J ; Sinon, R a "=R { + p { - R a \ 

R h2 = {V*a'' ( mod Pl)}P2+ R 2> R b = R h2 (™od p 3 ); 

Si R 3 >R b , R b =R 3 -R b ; Sinon, R b =R 3 + p 3 -R b \ 

*i,2,3 - tyb R b ( mod P3) \P1P2 +*i,2i 
Et ainsi de suite. R est egal a R\ j2t3 

Pour chaque exposant public de verification vjc vy vz il y a autant 

d'engagements R que de jeux d'aleas r x r 2 r 3 ... 



86 



Etape 2. Defi au temoin 

En cas d'authentification d'entit6, 

le demonstrateur transmet tout ou partie de chaque engagement R au 
controleur ; 

apres avoir regu tout ou partie de chaque engagement J?, le controleur 
produit au moins une sequence de nombres de 0 a v-1 pris au hasard. 
En cas d'authentification de message, 

le demonstrateur applique une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour obtenir un jeton 
T a transmettre au controleur, 
apres avoir re?u le jeton 7\ le controleur produit au moins une sequence de 
nombres de 0 a v-1 pris au hasard. 
En cas de signature rtumerique de message, le signataire applique une 
fonction de hachage f ayant comme arguments le message m et chaque 
engagement R pour obtenir au moins une sequence de nombres de 0 a v-1. 
Dans les trois cas, pour chaque exposant public de verification vx vy vz 
chaque sequence comporte autant de nombres de 0 a v-1 qu'il y a de paires 
de cles selon la presente invention ; dans chaque sequence, les nombres sont 
notes par dA 7 dB, ... Chaque sequence de nombres de 0 a v-1 est ensuite 
appelee defi d. Pour chaque exposant public de verification vx vy vz il y 
a autant de defis d que d' engagements R. 

Etape 3. Reponse du temoin au defi 
• Pour chaque exposant public de verification vjc vy vz pour chaque 
facteur premier le temoin calcule 

la puissance dA ieme de la composante QA. (mod p.), 
la puissance dB ieme de la composante QB. (mod p.), 

le produit des resultats precedents par l'alea r. (mod p) ; 




A = r x JQAi JQBi ... (mod p{)\ D 2 s r 2 .QA^ QBf ... (mod p 2 )\ 
- D 3 =r 3 .QA$ A .QBf ... (mod/7 3 ); 
• Puis, pour chaque exposant public de verification vjc vy vz le temoin 
etablit au moins une reponse Z) (mod n) selon la methode des restes chinois. 

D a = D 2 (mod/?!); 
Si D l >D a , dI =D l -D a ; Sinon, D Q = D l + Pl - D a \ 
A,2-&*Ai (mod />i)j/? 2 +A; 
D b = A,2 (mod/73); 
Si D 3 >D bj D b =D 3 -D b ; Sinon, D b =D 3 + p 3 -D b ; 
A,23=&A (mod p 3 ))p x .p 2 +D l2 \ 
Et ainsi de suite. D est egal h A,2,3 

Pour chaque exposant public de verification vjc vy vz il y a autant de 
rdponses D que de defis d. 

Note. Chaque appel au temoin se traduit a T interface par autant de triplets 
{!?, J, D] que de jeux d'aleas r x r 2 r 3 ... Remarquons qu'en elevant la 
reponse D a la puissance v ieme (mod n), on doit retrouver Tengagement R 
divise ou multiplie, selon Tequation retenue pour lier les paires de cles 
selon la presente invention aux nombres v et n y par la puissance dA ieme de 
GA, la puissance dB ieme de GB, ... Par consequent, chaque triplet {R, d y 
D} doit verifier Tune des deux relations suivantes. 

R^GA^.GB* 3 . ... D v (mod«); 
oubien RGA^ .GB dB \ ... = D v (modw); 
Etape 4. Donnees destinees au controleur 
En cas d'authentification d'entite ou de message, le demonstrates transmet 
chaque reponse D au controleur. 

En cas de signature num6rique de message, le signataire transmet un 
message signe au controleur. Le message signe comprend le message m, 
ainsi que : 

* chaque defi d ou chaque engagement R y 




* chaque reponse D. 

Etape 5. Verification exercee par le controleur 
Note. On aurait pu tester ici le symbole de Jacobi de chaque reponse, a 
condition d'avoir force le symbole de l'alea a Tetape L Cependant, il vaut 
mieux « laisser tomber les symboles ». II est bien plus economique 
d' accepter de perdre un bit de defi. 

Note. L'une des deux relations suivantes reconstruit un engagement note 
par/T. 

R^iGA** JGB dB . ...)D V (mod«); 
oubien D v I (GA^.GB* 8 ...) (mod«); 

En cas d'authentification d'entite, le controleur doit appliquer la formule 
appropriee pour reconstruire chaque engagement R' : aucun ne doit etre nul. 
Chaque engagement reconstruit R' doit reproduire Tintegralite des donnees 
transmises a Tetape 2, c'est-a-dire, tout ou partie de chaque engagement R. 
Lorsque toutes les conditions sont remplies, Tauthentification d'entite est 
reussie. 

En cas d'authentification de message, le controleur doit appliquer la 
formule appropriee pour reconstruire chaque engagement R' : aucun ne doit 
etre nul. Puis, il doit appliquer la fonction de hachage f ayant comme 
arguments le message m et chaque engagement reconstruit R' pour 
reconstruire le jeton T\ Le jeton reconstruit T doit etre identique au jeton T 
de Tetape 2. Lorsque toutes les conditions sont remplies, Tauthentification 
de message est reussie. 

En cas de signature numerique de message, selon le cas, 

• le controleur doit appliquer la formule appropriee^pour reconstruire 
chaque engagement R' : aucun ne doit etre nul. Puis, il doit appliquer 
la fonction de hachage f ayant comme arguments le message m et 
chaque engagement reconstruit R' pour reconstruire chaque defi d\ 
Chaque defi reconstruit d 9 doit etre identique au defi d figurant dans 



89 



le message signe. Lorsque toutes les conditions sont remplies, la 
signature est correcte. 

• le controleur doit appliquer la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R figurant dans le 
message sign6 pour reconstruire chaque d6fi d\ Puis, il doit 
appliquer la formule appropriee pour controler la coherence de 
chaque triplet {/?, d\ D}. Chaque triplet doit etre coherent. Lorsque 
toutes les conditions "sont remplies, la signature num^rique est 
correcte. 

2. Triplets 

Chaque appel au temoin se traduit par une collection de triplets k V interface 
du temoin. Chaque triplet {/?, d, D} comprend un engagement /?, un defi d 
et une reponse D. II y a deux manieres de produire des triplets : une maniere 
de produire en prive et une maniere de produire en public. 

• Le temoin produit en prive selon la chronologie suivante : a chaque 
appel, il fixe d'abord un nouveau jeu d'aleas qu'il transforme en un 
engagement /?, puis, il produit la reponse D a n'importe quel defi d 
deOav-1. 

• N'importe qui peut produire en public selon la chronologie suivante : 
quel que soit le defi d de 0 a v— 1, n'importe qui peut computer le 
triplet a partir de n'importe quelle reponse D en etablissant 
1'engagement R gr,ce aux nombres publics G, v et n. 

3. Tenailles 

Par definition, deux triplets sont « en tenaille » lorsqu'ils sont constitues 
des deux reponses D et E a deux defis d et e pour le meme engagement 7?, 
c'est-a-dire, {/?, d 9 D) et {/?, e, E}. 

A chaque appel, le t6moin est en position de produire des triplets en 
tenaille : il lui suffirait de reutiliser un jeu d'aleas. Mais il se garde bien des 
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tenailles : en tirant au hasard un jeu d'aleas a chaque appel, il utilise en 
pratique chaque fois un nouveau jeu d'aleas. 

3.1. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la cle privee Q 

La connaissance de deux triplets « en tenaille » equivaut a la connaissance 

de la cle privee Q. 

Demonstration. 

D'une part, le temoin se configure a partir des facteurs premiers p x p 2 p 2 
de la cle privee Q et de Fexposant public de verification v. Une fois 
configure, le temoin peut produire une tenaille : il lui suffit d'utiliser deux 
fois le meme jeu d'aleas. 

D' autre part, deux triplets en tenaille se traduisent par les equations 
suivantes : 

D = r.Q d (mod ri) et E = rJQ e (mod ri) avec 0 < d < e < v 
Par consequent, E/D = Q e " d (modw), avec 0<e-d<v 
Voyons comment calculer la cle privee Q a partir du rapport £ZD, lequel 
vaut (mod n), c'est-a-dire l'une des v-1 valeurs {Q, Q 2 y Q\ ... Q v l (mod 
7i)}, sachant que Q v (mod ri) est la cle publique G ou son inverse modulo n. 
La solution fait appel a 1'identite de Bezout. Par definition, les coefficients 
de Bezout de v et de e-d sont les deux entiers k et / verifiant les relations 
suivantes; l'algorithme de division d'Euclide permet de les calculer 
efficacement. 

0 < k < e - d; 0 < / < v; k.v - L(e - d) = ±pgcd(e - d, v) 
Dans le cas present, v est premier et done pgcd(e-<f, v) = 1. Ce qui donne 
1'identite : 

gLv-Ue-d) m Q ±l (mod n) 

C'est-a-dire, (Q v ) k I{Q e ' d ) 1 = Q ±l (mod ri) 

* Lorsque G = Q V (mod ri) est utilisee, G k /(E/D) 1 (mod ri) vaut 
Q (modrt) ou son inverse modulo n. 
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* Lorsque GQ V =1 (mod n) est utilisee, G k .(EID) 1 (modn) vaut 
Q (mod n) ou son inverse modulo n. 

3.2. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la factorisation de n 
Note. Cette demonstration se rapporte a la version prec6dente, c'est-a-dire, 
k la version qui tient compte du symbole de Jacobi. En effet, pourvu que le 
nombre g soit un residu non quadratique pour un nombre impair de facteurs, 
en for?ant le symbole de Legendre des aleas, on a toujours le meme 
symbole de Jacobi pour les r6ponses. 

Note. La presente version fait fi du symbole de Jacobi ; le prix a payer est 
la perte d'un bit de defi par paire de cles selon la presente invention. Le 
procede ne marche pas pour k = 1 ; le tricheur a une strategic gagnante 
totale. A partir de k - 2, le tricheur n'a plus qu'une strategic gagnante 
partielle : il peut anticiper deux defis mais pas trois. 

La connaissance de deux triplets « en tenaille » equivaut a connaitre une 
decomposition en deux facteurs du module public n. C'est la factorisation 
complete s'il y a deux facteurs premiers. S'il y a plus de deux facteurs 
premiers, il y a factorisation partielle, c'est-a-dire, deux facteurs non tous 
deux premiers : d'une part, un produit de facteurs premiers par rapport 
auquel le symbole de Jacobi de g vaut -1 et, d' autre part, le produit des 
autres facteurs premiers. 
Demonstration. 

D'une part, le temoin se configure a partir des facteurs premiers p x p 2 p 3 
du nombre public g et du facteur de securite L Une fois configure, le temoin 
peut produire une tenaille : il lui suffit d'utiliser deux fois le meme jeu 
d* aleas. 

D' autre part, deux triplets en tenaille se traduisent par les equations 
suivantes : 

R - G d .D 2k (mod ri) et R = G e .E lk (mod n) 



Lorsque k vaut 1, le d6fi d se limite a un seul bit. 

Introduisons une paire de fonctions {G 0 ; G,} delinie sur les 616ments de 
l'anneau des entiers (mod n) dont le symbole de Jacobi par rapport a n vaut 
+1. 

G 0 (x) s x 2 (mod n) et G,(x) = Gjc 2 (mod n) 
Cette paire de fonctions generalise la paire introduite par Goldwasser, 
Micali et Rivest. La tenaille donne un nombre entier G.&-D 2 divisible par 
n. Le nombre entier G.E?-D 2 est egal a g.E-D fois g.E+D. Or le symbole de 
Jacobi de g.E par rapport a n est -1 et celui de D est +1 ; done, n ne divise 
ni g.E-D, ni g.£4-£>. Par consequent, pgcd(n, g.E-D) et pgcd(n, g.E+D) sont 
deux facteurs non triviaux de n. 

Lorsque k est plus grand que 1, le defi d est une sequence de k bits, 
representant un nombre entier du bit de poids faible d(0) au bit de poids fort 
d(k-l). Soil d = 2 ,_1 +...^.2 + d 0 . 

Composons la paire de fonctions {G 0 ; G,} et ^tendons la notation en 
consequence. 

G do (G dl (...G dk _,(*)...)) 
^G d °.(G d K(...G d '-*.x 2 ...) 2 ) 2 (mod n) 
= G d jc 2k (mod n) = G d {x) 
Les deux defis e et J sont deux sequences de k bits comportant trois parties : 
le meme suffixe commun, eventuellement vide, sur les bits de poids faible, 
un bit de divergence a 0 dans un defi et a 1 dans 1' autre d6fi, 
des prefixes quelconques, 6ventuellement vides, sur les bits de poids forts. 
Le bit de divergence donne un nombre Gjc 2 -/ qui est divisible par n. 
Aucun des deux nombres gjc-y et gjc+y n'est divisible par n puisque gjc et 
y ont respectivement -1 et +1 comme symbole de Jacobi par rapport a n. 
Par consequent, pgcd(n, g-x-y) et pgcd(n, gjc+y) sont deux facteurs non 
triviaux de n. 
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4. Securite du nouveau procede 

D'une maniere generate, la security des protocoles «sans transfert de 
connaissance » s'analyse selon trois notions de base definies dans Particle 
de base de Shafi Goldwasser, Silvio Micali et Charles Rackoff. 
Dans le cas qui nous interesse, une entite proclame : « — Void un module 
n, un exposant de verification v et une cle publique G; j 9 utilise la 
factorisation de n et je connais la cli privee Q. » 

Par definition, lorsque Fentit6 connait les facteurs premiers, c'est un 
temoin. A chaque appel, le temoin produit de maniere privee un triplet que 
le controleur accepte. Par consequent, la procedure est complete . 
Par definition, lorsque Fentite ne connait pas les facteurs premiers, c'est un 
tricheur. A chaque appel, le tricheur a une chance sur v de deviner le defi d 
(si les v defis sont equiprobables) ; il peut done anticiper un defi, n'importe 
lequel, et ainsi tromper le controleur ; s'il pouvait anticiper un deuxieme 
defi apres avoir produit T engagement, il connaitrait une paire de triplets en 
tenaille, ce qui contredit la definition du tricheur. Par consequent, la 
procedure est robuste . 

Note. La presence version fait fi du symbole de Jacobi ; le prix a payer est 
la perte d'un bit de defi par paire de cles selon la presente invention. Le 
procede ne marche pas pour k = 1 ; le tricheur a une strategic gagnante 
totale. A partir de k = 2, le tricheur n'a plus qu'une strategie gagnante 
partielle : il peut anticiper deux defis mais pas trois. 

Quelle que soit la maniere dont se comporte le monde exterieur, il re?oit 
seulement F information que le temoin connait les facteurs premiers. Plus 
precisement, quelle que soit F information emise par le ^temoin, n'importe 
qui aurait pu la constituer sans interaction avec le temoin ; n'importe qui 
peut simuler les transmissions et produire un enregistrement qui reproduit 
les caracteristiques statistiques des informations recueillies lors d'une 
interaction avec le temoin. Durant F interaction, un observateur ne peut pas 



distinguer un honnete temoin d'un faux t6moin utilisant une liste de defis 
convenue a l'avance. Apr&s F interaction, un juge ne peut pas distinguer les 
deux types d'enregistrements. En effet, on ne peut pas distinguer un 
enregistrement de triplets produits de maniere publique et un enregistrement 
de triplets produits de maniere privde. Par consequent, la procedure utilisee 
par le temoin ne laisse filtrer aucune information sur la valeur des facteurs 
premiers . 

L'entite qui prouve pilote toujours le meme temoin fonctionnant toujours de 
la meme maniere : le temoin utilise les facteurs premiers et la cl6 privee Q 
sans les reveler ; le temoin assure la protection des facteurs premiers et de la 
cle privee Q. Le controleur verifie la cle privee Q sans en prendre 
connaissance. La procedure se deroule « sans transfert de connaissance ». 
Certaines paires de cles selon la presente invention sont telles que la 
connaissance de la cle privee Q implique la connaissance de la factorisation 
du module n. Avec le nouveau procede, la factorisation et la cle priv6e Q ne 
s'usent pas, meme quand on s'en sert. 
5. Performances du nouveau procede avec v = 2* 

Dans cette evaluation, on fait l'hypothese que la valeur de G est petite, par 
exemple, G = 4. La charge de travail du temoin et la charge de travail du 
controleur dependent du niveau de securite recherche, c'est-a-dire du 
produit de deux nombres : le nombre j de triplets produits a chaque appel au 
temoin et la valeur donnee au parametre de securite k moins un (en effet, on 
perd un bit de defi en laissant tomber le symbole de Jacobi). 
Pour une authentication avec j.(k-l) = 16 avecj = 1, 

le temoin doit effectuer 17 carres pour calculer Tengagement /?, puis, en 

moyenne 16 carres et 8 multiplications plus une multiplication pour 

calculer la reponse D, soit 41 operations (mod ri) ; 

cette charge est divisee par deux avec deux facteurs premiers, soit 20 

operations (mod n) ; - 
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cette charge est divisee par trois avec trois facteurs premiers, soit 
environ 14 operations (mod n) ; 

et ainsi de suite, 
le controleur doit effectuer 17 carres (mod n). 
Pour une signature avec y.(fc-l) = 80 avec 7=1, 
le t&noin doit effectuer 81 carres pour calculer 1* engagement /?, puis, en 
moyenne 80 carres et 40 multiplications plus une multiplication pour 
calculer la reponse D, soit 202 operations (mod n) ; 

cette charge est divisee par deux avec deux facteurs premiers, soit 100 
operations (mod n) ; 

cette charge est divisee par trois avec trois facteurs premiers, soit 67 
operations (mod n) ; 

et ainsi de suite, 
le controleur doit effectuer 81 carres (mod n). 
Remarque. Pour une valeur donnee du niveau de securite j.k, le choix 7=1 
ne change pratiquement pas la charge de travail du temoin, ni celle du 
controleur ; elle minimise toutefois le nombre de triplets produits, c'est-a- 
dire, la charge de transmission pour mener a bien 1'operation, que cette 
operation soit une authentification ou une signature. 

Utilisons plusieurs paires de cles selon la presente invention, toutes avec le 
meme exposant public de verification v. Cela fait apparaitre un niveau de 
securite ou / est le nombre de paires de cles selon la presente 

invention. Le fait d'utiliser plusieurs paires de cles selon la presente 
invention diminue la charge de travail du temoin, ainsi que la charge de 
travail du controleur. 

Dans le tableau ci-dessous, M represente une multiplication (mod n) et X un 
carre (mod n). Rappelons que sur le composant ST 16601 pour carte a puce, 
avec une horloge normalisee a 3,579545 MHz, le carre modulo pour 512 
bits se fait en 150 ms et la multiplication modulo en 200 ms. 
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Le comprornis pour / = 4 est tres attrayant parce que, compte tenu des restes 
chinois avec un module a trois facteurs premiers, le terminal et la carte ont a 
peu pres la meme charge de travail. II est preconise d'utiliser les cles 
publiques GA = 4, GB = 9, GC = 25, GD = 49. 




Revendications 

1. Procede pour diminuer la charge de travail pendant une session 
destinee a prouver a un controleur, 

- Tauthenticit6 d'une entity et/ou 

- Torigine et I'integritS d'un message m, 
ledit procede met en oeuvre trois entites : 

- une premiere entite appel6e t6moin dispose des facteurs premiers 
Pi> P2> (Pi >•••)(* etant superieur ou egal a 2) d'un module public n tel 
que n = p r p 2 . p 3 . ... , 

ledit temoin dispose aussi 

* des composantes QA 19 QA 2 , ... (QA f , ...), et QB^ QB 2 , ... (QB t , 
...),..., representant des cl6s privees QA, QB, . . . 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA 19 GA 2 , ... (GA 8 , ...) et GB l9 GB 2 , ... (GB i5 ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cles privees et cles publiques etant liees par des relations du type : 

GA.QA™ mod n s 1 ou GA = QA™ mod n 
lesdits exposants publics de verification vx, vy, ... etant utilises par le 
temoin pour calculer des engagements R en effectuant des operations du 
type : 

Ri = mod p. 

ou r. est un entier, associe au nombre premier p., tel que 0 < r s < p. , chaque 
r { appartenant k une collection d'aleas {r 15 r 2 , r 3 , ...}, 

le temoin tire au hasard une ou plusieurs collections d'al6as de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d'engagements R que de collections d'aleas {r l9 r z , r 3 , .. . }, 

- une deuxieme entite pilote dudit temoin 

* appelee demonstrates dans le cas de la preuve de 1* authenticity 
d'une entit6 ou de r authenticity d'un message, 
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* appelee signataire dans les cas de la preuve de l'origine et de 
Tintegrite d'un message, 

- une troisieme entite appelee controleur verifie T authentication ou 
l'origine et Tintegrite d'un message, 

ledit temoin re?oit de la deuxieme entite ou du controleur un ou plusieurs 
defis d tel que 0 < d < vx - 1 et calcule a partir de ce defi une ou plusieurs 
reponses D en effectuant des operations du type : 

Dj = r, . QA S . QB , ** . . . . mod Pi 
ou Tj est un alea tel que 0 < r t < p t 

de sorte que le nombre d' operations arithmetiques modulo ft k effectuer 
pour calculer chacune des reponses D. pour chacun des p i est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n, 
ledit controleur recevant une ou plusieurs reponses D calcule a partir 
desdites reponses des engagements R' en effectuant des operations du 
type : 

R' = GA dA .GB dB ....D v modn 

ou du type : 

R'. GA dA . GB dB . ... = D V mod n 

ledit controleur verifie que les triplets {R% d, D} sont coherents. 

2. Procede pour diminuer la charge de travail pendant une session 
destinee a prouver a un controleur, 

- Fauthenticite d'une entite et/ou 

- l'origine et Tintegrite d'un message m, 
ledit procede met en oeuvre trois entites : 

-une premiere entite appelee temoin dispose des facteurs premiers 
Pi> P 2 > — (Pi » — ) (i etant superieur ou egal a 2) d'un module public n tel 
quen = p r p 2 . p 3 l ... , 
ledit temoin dispose aussi 

* des composantes QA V QA 2 , ... (QAj , ...), et QB 1? QB 2 , ... (QB S , 
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...), • • - , representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA 15 GA 2 , ... (GAj, ...) et GB 15 GB 2 , ... (GB f , ...) 

* d'un exposant public de verification v 

lesdites paires de cles privees et publiques etant li6es par des relations du 
type : 

GA.QA V mod n = 1 ou GA = QA V mod n 

ledit exposant public de verification v etant utilis6 par le temoin pour 
calculer des engagements R, 

• en effectuant des operations du type : 

Rj = r* mod pj 

ou Tj est un entier, tire au hasard, associe au nombre premier p j5 tel que 0 < r t 
< ^ , chaque r { appartenant a une collection d'aleas {r^ r 2 , r 3 , ...}, 

• puis en appliquant la methode des restes chinois, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
qu'il y a autant d'engagements R que de collections d'aleas {r lf r 2 , r 3 , ... }, 
de sorte que le nombre d' operations arithmetiques modulo p! a effectuer 

pour calculer chacun des R a pour chacun des p 2 est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 

- une deuxieme entite pilote dudit temoin, 

* appelee demonstrateur dans le cas de la preuve de l'authenticite 
d'une entite ou de l'authenticite d'un message, 

* appelee signataire dans les cas de la preuve de l'origine et de 
Tintegrite d'un message, 

- une troisieme entite appelee controleur verifie l'authentification ou 
l'origine et Tintegrite d'un message, 

ledit temoin regoit de la deuxieme entite ou du controleur, des collections 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections de 
defis d etant egal au nombre d'engagements R, chaque collection {dA, dB, 
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...} comprenant un nombre de defis egal au nombre de paires de cles, 

ledit temoin calcule a partir de chacune desdites collections de d6fis {dA, 

dB, ...} des reponses D 

• en effectuant des operations du type : 

5 D i = r i .QA i dA .QB i mod Pi 

• puis en appliquant la methode des restes chinois, 

de telle sorte qu'il y a autant de reponses D que d'engagements R et de 
defis d, 

de sorte que le nombre d'operations arithmetiques modulo ft a effectuer 
10 pour calculer chacun des D, pour chacun des p., est reduit par rapport a ce 

qu'il serait si les operations etaient effectuees modulo n 
ledit contrdleur recevant une r6ponse D calcule a partir de cette reponse un 
engagement R' en effectuant des operations du type : 

R , = GA dA .GB dB ....D v modn 

15 ou du type : 

R' . GA dA . GB dB . ... = D V mod n 

ledit contrdleur verifie que les triplets {R% d, D} sont coh6rents. 

3. Procede selon la revendication 2 pour diminuer la charge de 
travail pendant une session destinee a prouver a un controleur 
20 l'authenticite d'une entite ; 

ledit procede met en oeuvre trois entites : 

1 - une premiere entite appelee temoin dispose des facteurs premiers 
Pi» P 2 » •■• (Pi > •••) (i etant superieur ou egal a 2) d'un module public n tel 

quen = p 1 .p 2 .p 3 

25 ledit temoin dispose aussi 

* des composantes QA IS QA 2 , ... (QA, , ...), et QB,, QB 2 , ... (QBj , 
...),..., representant des cles privees QA, QB, . . . 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA X , GA 2 , ... (GA„ ...) et GB„ GB 2 , ... (GB S , ...) 
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• d'un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA V mod n = 1 ou GA = QA V mod n 

2 - une deuxieme entite pilote dudit temoin appelee d^monstrateur 

3 - une troisieme entite appelee contrdleur verifie Tauthentification, 
pour prouver r authenticity d'une entite, ledit temoin, ledit demonstrates 
et ledit contr61eur executent les etapes suivantes : 

• etape 1. engagement R du temoin : 

- a chaque appel, le temoin tire au hasard et en priv6 au moins une 
collection de nombres entiers {r^ r 2 , r 3 , ••.},telle que, pour chaque facteur 
premier p s , chaque collection comporte un alea rjpositif et plus petit que p x , 

- pour chaque facteur premier p { , le temoin eleve chaque al6a r g a la 
puissance v ieme modulo p ; 

Ri^r^modpi 

de sorte que le nombre d' operations arithmetiques modulo a effectuer 
pour calculer chacun des Rj pour chacun des p % est reduit par rapport & ce 

qu'il serait si les operations etaient effectuees modulo n, 

- puis, le temoin etablit chaque engagement R modulo n selon la methode 
des restes chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'aleas 

• etape 2. defi d destine au temoin : 

- le demonstrates transmet tout ou partie de chaque engagement R au 
contr61eur, 

- le controleur, apres avoir re?u tout ou partie de chaque engagement R, 
produit au moins une collection de defis d {dA, dB, ...} tels que 0 < dA < v 

- 1, le nombre des collections de defis d etant egal au nombre 
d' engagements R, chaque collection {dA, dB, ...} comprenant un nombre 
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de d£fis egal au nombre de paires de cles, 

• etape 3. reponse do temoin au defi d : 

- ledit temoin calcule des reponses D a partir desdites collections de deTis d 
{dA, dB, ...} recues du contrdleur 

en effectuant des op6rations du type : 

Di = r, . QA, . QB, * . ... mod p, 
de sorte que le nombre d'operations arithmetiques modulo p, a effectuer 
pour calculer chacun des D, pour chacun des p, est r<Sduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 
puis en appliquant la m6thode des restes chinois, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d'engagements R et de d6fis d, 

• etape 4. donnees destinees au contrdleur : 

- le d6monstrateur transmet au contrdleur chaque reponse D, 

• etape 5. verification par le contrdleur : 

ledit contrdleur calcule a partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R'eeGA^.GB* 8 ....^ modn 

ou du type : 

R» . GA dA . GB * . ... = D v mod n 

ledit contrdleur verifie que chaque engagement reconstruit R' reproduit 
tout ou partie de chaque engagement R transmis a l'6tape 2 par le 
demonstrateur. 

4. Proc6de selon la revendication 2 pour diminuer la charge de 
travail pendant une session desun6e a prouver a un contrdleur 
1' authenticity d'un message m, 
ledit proced6 met en oeuvre trois entit6s : 

1 - une premiere entite appelee temoin dispose des facteurs premiers 
Pi» P 2 > — (Pi , —) (i etant sup6rieur ou 6gal a 2) d'un module public n tel 
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que n = P!«p 2 * P3* • , 
ledit temoin dispose aussi 

* des composantes QA t , QA 2 , ... (QAi ,...), et QB^ QB 2 , ... (QB 8 , 
...), . . representant des cles privees QA, QB, . . . 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA;, ...) et GB 15 GB 2 , ... (GB i5 ...) 

* d'un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA V mod n = 1 ou GA = QA v mod n 

2 - une deuxieme entite pilote dudit t6moin appelee demonstrateur, 

3 - une troisieme entite appelee controleur v6rifie Fauthentification, 
pour prouver T authenticity d'un message ledit t6moin, ledit demonstrateur 
et ledit controleur executent les etapes suivantes : 

• etape 1. engagement R du temoin : 

- a chaque appel, le temoin tire au hasard et en prive au moins une 
collection de nombres en tiers {r 15 r 25 r 3 , ...},telle que pour chaque facteur 
premier p j: chaque collection comporte un alea rjpositif et plus petit que p s , 

- pour chaque facteur premier p x , le temoin eleve chaque alea r t a la 
puissance v ieme modulo p t 

Ri^r^modp; 

de sorte que. le nombre d' operations arithmetiques modulo p s a effectuer 
pour calculer chacun des Rj pour chacun des ft est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 

- puis, le temoin etablit chaque engagement R modulo n selon la methode 
des restes chinois, ^ 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

• etape 2. defi d destine au temoin : 
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- le demonstrateur applique une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour un jeton T, 

- le demonstrateur transmet le jeton T au controleur, 

- le contr61eur, apres avoir recu le jeton T, produit au moins une collection 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections de 
d6fis d etant egal au nombre d' engagements R, chaque collection {dA, dB, 
...} comprenant un nombre de defis egal au nombre de paires de cles, 

• etape 3. reponse du temoin au defi d : 

- ledit t6moin calcule des reponses D a partir desdites collections de deTis d 
{dA, dB, ...} recues du contrdleur 

en effectuant des operations du type : 

D 5 = r, . QA, ^ . QB, «"».... mod Pi 

puis en appliquant la m6thode des restes chinois, 

de sorte que le nombre d'operations arithmetiques modulo p, a effectuer 
pour calculer chacun des D s pour chacun des p, est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 
de telle sorte qu'il y a autant de reponses D calculees par le t6moin que 
d.' engagements R et de defis d, 

• etape 4. donnees destinees au controleur : 

- le demonstrateur transmet au contrSleur chaque reponse D, 

• etape 5. verification par le controleur : 

ledit controleur calcule a partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R , = GA dA .GB dB ....D v modn 

ou du type : 

R'.GA^.GB* 3 . ... = D V modn 

ledit controleur applique la fonction de hachage f ayant comme arguments 
le message m et chaque engagement reconstruit R' pour reconstruire le 
jeton T% 
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ledit controleur verifie que le jeton T* est identique au jeton T transmis a 
l'etape 2 par le demonstrateur. 

5. Procede selon la revendication 2 pour diminuer la charge de 
travail pendant une session destinee a prouver a un controleur la signature 
mimerique d'un message m, 
ledit procede met en oeuvre trois entites : 

1 - une premiere entit6 appelee temoin dispose des facteurs premiers 
Pi» P2» ••• (Pi > •••) (i etant superieur ou egal a 2) d'un module public n tel 
que n = Pi*p 2 . P3* • , 

ledit temoin dispose aussi 

* des composantes QA 15 QA 2 , ... (QAj ,...), et QB 1? QB 2 , ... (QB { , 
. . .), . . . , representant des cles privies Q A, QB, . . . 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA^ GA 2 , ... (GA i5 ...) et GB 15 GB 2 , ... (GB;, ...) 

* d'un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA V mod n = 1 ou GA = QA v mod n 

2 - une deuxieme entite pilote dudit temoin appelee signataire, 

3 - une troisieme entite appelee controleur verifie Tauthentification, 
pour prouver la signature d'un message ledit temoin, ledit demonstrateur 
et ledit controleur executent les etapes suivantes : 

• etape 1. engagement R du temoin : 

- a chaque appel, le temoin tire au hasard et en prive au moins une 
collection de nombres entiers {r ls r 2 , r 3 , ...},telle que, pour chaque facteur 
premier p i9 chaque collection comporte un alea Fj positif et plus petit que p s , 

- pour chaque facteur premier p { , le temoin eleve chaque alea r s a la 
puissance v ieme modulo p s 

Rj s rj v mod pj 




de sorte que le nombre cooperations arithmetiques modulo p u a effectuer 
pour calculer chacun des Rj pour chacun des p, est reduit par rapport a ce 
qu'il serait si les op6rations etaient effectuees modulo n, 

- puis, le temoin etablit chaque engagement R modulo n selon la methode 
des restes chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'al6as 

• etape 2. d£fi d destine au temoin : 

- le signataire applique une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R pour obtenir au moins une 
collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des 
collections de defis d 6tant egal au nombre d'engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis 6gal au nombre de 
paires de cles, 

- le signataire transmet les collections de defis d au temoin, 

• etape 3. reponse du temoin au defi d : 

- ledit temoin calcule des reponses D a partir desdites collections de deTis d 
{dA, dB, ...} recues du contr61eur 

en eflectuant des operations du type : 

D i = r i • QA, . QBj dB — mod Pi 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo ^ a effectuer 
pour calculer chacun des D s pour chacun des p, est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 
de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d'engagements R et de defis d, 

- ledit temoin transmet les reponses D au signataire et/ou au contrdleur, 

• etape 4. donnees destinees au contrdleur : 

- le signataire transmet un message sign6 au controleur comprenant : 




/ le message m, 

/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le controleur : 
cas ou le controleur re^oit la collection des defis d, 

dans le cas ou le controleur regoit la collection des defis d et des reponses 
D, ledit controleur calcule k partir de chaque r6ponse D un engagement R' 
en effectuant des operations du type : 

R' = GA dA .GB dB ....D v modn 

ou du type : 

R' . GA dA . GB ... = D V mod n 

ledit controleur applique la fonction de hachage f ayant comme arguments 
le message m et chaque engagement reconstruit R' pour reconstruire 
chaque defi d% 

ledit controleur verifie que chaque defi d' reconstruit est identique au defi 
d figurant dans le message signe, 

cas ou le controleur re^oit la collection des engagements R 

dans le cas ou le controleur refoit la collection des engagements R et des 
reponses D, ledit controleur applique la fonction de hachage f ayant 
comme arguments le message m et chaque engagement R pour reconstruire 
chaque defi d% 

ledit controleur reconstruit alors la collection des engagements R' en 
effectuant des operation du type 

R' = GA d A . GB d B . ... D v mod n 

ou du type : 

R' . GA d A . GB d>B . . . . = D v mod n 

ledit controleur verifie que chaque engagement R' reconstruit est identique 
a F engagement R figurant dans le message signe, 

6. Precede selon Tune quelconque des revendications 1 k 5 tel que 
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les composantes QA 15 QA 2 , ... (QA i9 ...), et QB^ QB 2 , ... (QB,, ...), ... des 
cles privees QA, QB, ... sont des nombres tires au hasard a raison d'une 
composante QA 8 , QBj , ... pour chacun desdits facteurs premiers r 
lesdites cles privees QA, QB, pouvant etre calculees a partir desdites 
5 composantes QA X , QA 2 , ... (QAj, ...), et QB l9 QB 2 , ... (QB. , ...), ... par la 

methode des restes chinois, 
lesdites cles publiques GA, GB, ... etant calculee 
• en effectuant des op6rations du type : 

GAj s QA 5 V mod p s 

10 • puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA V mod n 

ou bien tel que 

GA.QA V mod n = 1 

de sorte que le nombre d' operations arithmetiques modulo r a effectuer 
15 pour calculer chacun des GA S pour chacun des p. est reduit par rapport a 

ce qu'il serait si les operations etaient effectuees modulo n. 

7. Procede selon la revendication 6 tel que Fexposant public de 
verification v est un nombre premier.; i . , - 

de sorte que la paire de cles GA, QA coriiete une securite equivalente a la 
20 connaissance de la cle privee QA. 

8. Proced6 selon Tune quelconque des revendications 1 a 5 tel que 
l'exposant public de verification v est du type 

v = a k 

ou k est un parametre de securite. 
25 9. Procede selon la revendication 8 tel que : 

- l'exposant public de verification v est du type ^ 

v = 2 k 

ou k est un parametre de securite, 

- la cle publique GA est un carre gA 2 inferieur a n choisi de telle 
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sorte que T equation 

x 2 = gA mod n 

n'a pas de racine en x dans Tanneau des entiers modulo n 

- lesdites composantes QA 15 QA 2 , ... (QAj, ...) de la cle privee QA 
sont telles que : 

GA= Q A, 2exp(k) mod p s 

ou bien telles que : 

GA jQAi 2 exp(k) mod 1 
on les obtient en extrayant la kieme racine carree de GA dans le corps de 
Galois CG(pj) 

de sorte que le nombre d' operations arithmetiques modulo Pj k effectuer 
pour calculer chacun des QA. pour chacun des ft est reduit par rapport k 
ce qu'il serait si les operations etaient effectuees modulo n, 
de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la factorisation de n. 

10. Proc6de selon la revendication 9 tel que pour extraire la kieme 
racine carree de GA dans le corps de Galois CG(P|), 

* dans le das ou le faoieunf;feemier P; est congru a 3 modulo 4, on 
applique notamment un algorithme du type : 

x = (p+l)/4 ;y = x k mod (p-1) ; z = y ; QA^ = GA Z mod p. 

* dans le cas ou le facteur premier p s est congru k 1 modulo 4, on 
utilise les suites de Lucas. 

11. Systeme pour diminuer la charge de travail pendant une session 
destinee a prouver a un serveur controleur, 

- l'authenticit^ d'une entite et/ou 

- Torigine et Tintegrite d'un message m, 
ledit procede met en oeuvre trois entites : 

- une premiere entite, appelee dispositif temoin, contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 



bancaire a microprocesseur, 

le dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers Pl , p 2 , ... ( Pi , ...) (i &ant superieur ou egal a 2) d'un 
module public n tel que n = p,.p 2 . p 3 . ... , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant : 

* des composantes QAj, QA 2 , ... (QA, , ...), et QB„ QB 2 , ... (QB, , 
...),..., repr6sentant des cles privees QA, QB, . . . 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA,, ...) et GB„ GB 2 , ... (GBj, ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cles privees et cles publiques 6tant liees par des relations du type : 

GA.QA" mod n = 1 ou GA s QA" 1 mod n 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R^r^ mod Pi 
oil Tj est un alea tel que 0 < iv < Pi , 

de sorte que le nombre d'operations arithmetiques modulo Pi a effectuer 
par lesdits premiers moyens de calcul pour calculer chacun des Rj pour 
chacun des Pi est reduit par rapport a ce qu'il serait si les operations 6taient 
effectu^es modulo n, 

- une deuxieme entite appelee dispositif pilote dudit dispositif 
temoin pouvant etre egalement contenue notamment dans ledit objet 
nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrates dans le cas de la preuve de Tauthenticite 
d'une entity ou de l'authenticite d'un message, 

* dispositif de signature dans les cas de la preuve de l'origine et de 
rintegrite d'un message, 



- une troisieme entite appelee dispositif controleur se presentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter 61ectriquement, electromagnetiquement, optiquement ou de 
mani&re acoustique audit dispositif temoin, 

ledit dispositif controleur verifie l'authentification ou Forigine et l'integrite 
d'un message, 

ledit dispositif temoin re9oit du dispositif pilote ou du dispositif controleur 
un ou plusieurs d6fis d tel que 0 < d < vx - 1 et comporte des deuxiemes 
moyens de calcul pour calculer k partir dudit defi d une ou plusieurs 
reponses D en effectuant des operations du type : 

Dj = r s • QAj . QBj ** . ... mod p t 
ou r t est un entier, associe au nombre premier p i5 tel que 0 < Tj < p. , chaque 
Tj appartenant a une collection d'aleas {r v r 2 , r 3 , ...}, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d'engagements R que de collections d'aleas {r,, r 2 , r 3 , ... }, 
de sorte que le nombre d' operations arithmetiques modulo p s a effectuer 
par lesdits deuxiemes moyens de calcul pour calculer chacune des reponses 
D s pour chacun des Pj est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n, 

ledit dispositif controleur, recevant une ou plusieurs reponses D, comporte 
des troisiemes moyens de calcul pour calculer a partir desdites reponses D 
des engagements R* en effectuant des operations du type : 

R'=GA dA .GB dB ....D v modn 

ou du type : 

R , .GA dA .GB dB .... = D v modn 

ledit dispositif controleur comporte des quatriemes moyens de calcul pour 



verifier que les triplets {R% d, D} sont coherents. 

12. Systeme pour diminuer la charge de travail pendant une session 
destinee a prouver a un controleur, 

- I'authenticit6 d'une entit6 et/ou 

- l'origine et l'integrite d'un message m, 
ledit proc6de met en oeuvre trois entit6s : 

- une premiere entite appel6e dispositif temoin, contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p lf p 2 , ... (p. , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = p r p 2 . p 3 . .. . , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant 

* des composantes QA„ QA 2 , ... (QA, , ...), et QB^ QB 2 , ... (QB, , 
...),..., representant des cl6s privies QA, QB, . . . 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA,, ...) et GB,, GB 2 , ... (GB, , ...) 

* un exposant public de verification v 
lesdites paires de cl6s privees et publiques etant liees par des relations du 
type : 

GA.QA V mod n = 1 ou GA = QA'mod n 

ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R, 

• en effectuant des operations du type : 

Rj = rj T mod p ; 

ou Tj est un entier, tir6 au hasard, associe au nombre premier p„ tel que 0 < Tj 
< Pi , chaque r, appartenant a une collection d'aleas {r n r v r 3 , ...}, 

• puis en appbquant la m6thode des restes chinois, 
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le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
qu'il y a autant d' engagements R que de collections d'aleas {r 1? r 2 , r 3 , ... }, 
de sorte que le nombre d' operations arithmetiques modulo p s a effectuer 
par lesdits premiers moyens de calcul pour calculer chacun des Rj pour 
chacun des p s est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- une deuxieme entite, appel6e dispositif pilote dudit dispositif 
temoin, pouvant etre egalement contenue notamment dans ledit objet 
nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrates dans le cas de la preuve de F authenticity 
d'une entite ou de F authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de Forigine et de 
F integrity d'un message, 

- une troisieme entite, appelee dispositif controleur, se presentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique, 

ledit dispositif controleur comporte des moyens.de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

ledit dispositif controleur verifie Fauthentification ou Forigine et Fintegrite 
d'un message, 

ledit dispositif temoin re5oit du dispositif pilote ou du dispositif controleur, 
des collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d' engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de d6fis Sgal au nombre de 
paires de cles, 

ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de defis {dA, dB, ...} des 




reponses D 

• en effectuant des operations du type : 

D { s r, . QA. " . QB S • . . . . mod p. 

• puis en appliquant la rnethode des restes chinois, 

de telle sorte qu'il y a autant de reponses D que d'engagements R et de 
defis d, 

de sorte que le nombre d'operations arithmetiques modulo p. h effectuer 
par lesdits deuxiemes moyens de calcul pour calculer chacun des D, pour 
chacun des p f est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

ledit dispositif controleur, recevant une ou plusieurs reponses D, comporte 
des troisiemes moyens de calcul pour calculer a partir desdites reponses D 
un engagement R' en effectuant des operations du type : 

R' = GA dA .GB dB ....D v modn 

ou du type : 

R' . G A ^ . GB * . . . . s D v mod n 

ledit dispositif contrdleur comporte des quatriemes moyens de calcul pour 
verifier que les triplets f R% d 9 D} sont coherents. 

13. Systeme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destinee a prouver k un controleur 
Tauthenticite d'une entite ; 
ledit procede met en oeuvre trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenue 
notamment dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire a microprocesseur, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p v p 2 , ... (p. , ...) (i etant superieur ou egal k 2) d'un 
module public n tel que n = Pj-p 2 . p 3 . ... , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
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contenant : 

* des composantes QA 15 QA 25 ... (QAj ,...), et QBj, QB 2 , ... (QB f , 
...), . . representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GA 2 , ... (GA i5 ...) et GB^ GB 2 , ... (GB., ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant li6es par des relations du 
type : 

GA.QA V mod n = 1 ou GA = QA v mod n 

2 - une deuxieme entite appelee dispositif demonstrateur dudit 
dispositif temoin, pouvant etre egalement contenue notamment dans ledit 
objet nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte k un 
r6seau de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, i^'S/^i 
pour prouver Tauthenticite d'une entite, ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r^ r 2 , r 3 , ...},telle que pour chaque facteur premier p r chaque 
collection comporte un alea r. positif et plus petit que p, , 

- le dispositif temoin comporte des deuxiemes moyens de calcul pour 61ever 
chaque alea r { a la puissance v ieme modulo p ; , pour chaque facteur 
premier p s , 
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Ri = r, v mod P; 

de sorte que le nombre d'operations arithmStiques modulo p, a effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des Rj pour 
chacun des p, est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
6tablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'ahSas 

• etape 2. defi d destine au dispositif temoin : 

- le dispositif demonstrates comporte des moyens de transmission pour 
transmettre tout ou partie de chaque engagement R au dispositif 
contrdleur, 

- le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, apres avoir recu tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que Q < dA £ v - 1, le nombre 
des collections de deTis d etant egal au nombre d'engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis egal au nombre de 
paires de cles, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D ,a partir desdites collections de defis d {dA, dB, ...} 
recues du dispositif contrSleur, 

en effectuant des operations du type : 

D, s r. t . QA, ^ . QB, « . . . . mod Pl 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d'operations arithmetiques modulo r a effectuer 
par les quatriemes moyens de calcul pour calculer chacun des D, pour 




chacun des p t est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

• etape 4. donnees destinees au dispositif contrdleur : 

- le demonstrateur comporte des moyens de transmission pour transmettre 
au dispositif controleur chaque r6ponse D, 

• etape 5. verification par le dispositif controleur : 

ledit dispositif controleur comporte des cinquiemes moyens de calcul pour 
calculer h. partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R , = GA dA .GB dB ...-D v modn 

ou du type : 

R' . GA dA . GB dB . ... = D V mod n 

ledit dispositif controleur comporte des sixiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis a T etape 2 par le dispositif 

demonstrateur. 

14. Sy steme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destinee a prouver a un controleur 
Tauthenticite d'un message m, 
ledit procede met en oeuvre trois entites : 

1 - une premiere entite appelee dispositif temoin, contenue 
notamment dans un objet nomade se presentant par exemple sous la foime 
d'une carte bancaire a microprocesseur, 

ledit dispositif temoin dispose d'une premiere zone m6moire contenant des 
facteurs premiers p 19 p 2 , ... (p 5 , .•.) (i etant superieur ou egal k 2) d'un 
module public n tel que n = p r p 2 « p 3 . ... » 

ledit dispositif temoin dispose aussi d'une deuxifeme zone m6moire 
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contenant 

* des composantes QA„ QA 2 , ... (QA, , ...), et QB„ QB 2 , ... (QB, , 
...),..., representant des cles privees QA, QB, 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA„ GA 2 , ... (GA,, ...) et GB,, GB 2 , ... (GB,, ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA V mod n s 1 ou GA = QA V mod n 

2 - une deuxieme entite, appelee demonstrateur dudit dispositif 
temoin, pouvant Stre egalement contenue notamment dans ledit objet 
nomade, 

3 - une troisieme entit6 appelee dispositif controleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte a un 
reseau de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

pour prouver l'authenticite d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

- ledit dispositif temoin comporte des premiers moyens de calcul pour tirer 
au hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r„ r 2 , r 3 , ...},teUe que pour chaque facteur premier p-„ chaque 
collection comporte un al6a r,positif et plus petit que p. ,^ 

- ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
elever chaque alea r, a la puissance v ieme modulo p; , pour chaque facteur 
premier p, , 
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Ri - if mod Pi 

de sorte que le nombre d* operations arithmetiques modulo p x a effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des Rj pour 
chacun des pj est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

• etape 2. defi d destine au dispositif temoin : 

- le dispositif demonstrates comporte des premiers moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R pour un jeton T, 

- ledit dispositif demonstrateur comporte des moyens de transmission pour 
transmettre le jeton T au dispositif contrdleur 

- ledit dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, apres avoir refn le jeton T, au moins une collection de defis d {dA, 
dB, ...} tels que 0 < dA < v - 1, le nombre des collections de defis d etant 
egal au nombre d'engagements R, chaque collection {dA, dB, ...} 
comprenant un nombre de defis egal au nombre de paires de cles, 

• etape 3, reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collection de defis d {dA, dB, ...} 
re?ues du dispositif controleur 

en effectuant des operations du type : 

Di s rj . QAj ^ * QB| mod p, 

puis en appliquant la methode des restes chinois, 

de sorte que le nombre d'operations arithmetiques modulo P; a effectuer 



par les quatriemes moyens de calcul pour calculer chacun des D 5 pour 
chacun des pj est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

• etape 4. donnees destinees au dispositif contrdleur : 

- le demonstrateur comporte des moyens de transmission pour transmettre 
au dispositif controleur chaque reponse D, 

• etape 5. verification par le dispositif controleur : 

ledit dispositif controleur comporte des cinquiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R , = GA dA .GB dB _..D v modn 

ou du type : 

R , .GA dA .GB dB .... = D v modn 

ledit dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ayant comme arguments le 
message m et chaque engagement R% le jeton T% 

ledit dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que le jeton T' est identique au jeton T transmis a 
1' etape 2 par le dispositif demonstrateur. 

15. Systeme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destinee a prouver a un controleur la signature 
numerique d'un message m, 
ledit procede met en oeuvre trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenues 
notamment dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire a microprocesseur, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 




facteurs premiers p 19 p 2 , ... (p s , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = p r p 2 . p 3 . ... , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant : 

* des composantes QA,, QA 2 , ... (QA S , ...), et QB X , QB 2 , ... (QBj , 
. . .), . . . , representant des cles privees QA, QB, . . . 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA V GA 2 , ... (GA i5 ...) et GB 15 GB 2 , ... (GBj, ...) 

* un exposant publique de verification v 

lesdites paires de cles privees et publiques etant lies par des relations du 
type : 

GA.QA V mod n = 1 ou GA = QA v mod n 

2 - une deuxieme entite appelee dispositif de signature, pouvant etre 
egalement contenue notamment dans ledit objet nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte a un 
reseau de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

pour prouver la signature d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

• etape 1. engagement R du temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a Chaque appel, au moins une collection de nombres 
entiers {r 15 r 2 , r 3 , ...},telle que pour chaque facteur premier p p chaque 
collection comporte un alea rjpositif et plus petit que p 5 , 

- le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
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chaque alea r, a la puissance v ieme modulo p 4 , pour chaque facteur premier 

Rj = r* mod p { 

de sorte que le nombre d' operations arithmetiques modulo p f a effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des Rj pour 
chacun des p, est reduit par rapport a ce qu'il serait si les operations 6taient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif t6moin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

• etape 2. defi d destine au dispositif temoin : 

- ledit dispositif de signature comporte des troisiemes moyens de calcul 
pour calculer, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R, au moins une collection 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections de 
defis d gtant egal au nombre d'ejagagements R, chaque collection {dA, dB, 
• ..} conS^renant un nombre de defi<> egal au nombre de paires de cles, 

- le dispositif de signature transmet les collections de defis d au 
temoin, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
re?ues du dispositif controleur, 

en effectuant des operations du type : 

Di = r. . QAj . QBj ** . ... mod 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo ft a effectuer 
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par les quatriemes moyens de calcul pour calculer chacun des D f pour 
chacun des pj est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

- ledit dispositif temoin comporte des moyens de transmission pour 
transmettre les reponses D au dispositif de signature et/ou au dispositif 
controleur, 

• etape 4. donnees destinees au dispositif controleur : 

- le dispositif de signature transmet au dispositif controleur un message 
signe comprenant : 

/ le message m, 

/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le dispositif controleur : 
cas ou le dispositif controleur re^oit la collection des defis d, 

dans le cas ou le dispositif controleur re9oit les collections des defis d et 
des reponses D, ledit dispositif controleur comporte des cinquiemes 
moyens de calcul pour calculer a partir de chaque reponse D un 
engagement R' en effectuant des operations du type : 

R^GA^.GB^....^ modn 

ou du type : 

R 5 . G A " . GB " . . . . = D v mod n 

ledit dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer chaque defi d', en appliquant la fonction de hachage f ay ant 
comme arguments le message m et chaque engagement ffeconstruit R% 
ledit dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque defi d> est identique au defi d figurant dans 
le message signe, 
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cbs on le dispositif controleur recoit la collection des engagements R 

dans le cas ou le dispositif contrdleur re 9 oit la collection des engagements 
R et des reponses D, ledit dispositif contrdleur comporte des cinquiemes 
moyens de calcul pour calculer chaque defi d>, en appliquant la fonction de 
hachage f ayant comme arguments le message m et chaque engagement R, 
ledit dispositif contrdleur comporte des sixiemes moyens de calcul pour 
calculer alors la collection des engagements R' en effectuant des 
op6rations du type 

= GA d ' A . GB d>B . ... D v modn 

ou du type : 

R\ GA d A . GB d B . . . . = D v mod n 

ledit dispositif contr61eur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque engagement R' reconstruit est identique a 
l'engagement R figurant dans le message signe. 

16. Systeme selon l'une quelconque des revendications 11 a 15 tel 
que les composantes QA„ QA 2 , ... (OA, , ...), et QB„ QB 2 , ... (QB, , ...), 
... des cles privees QA, QB, ... sont des nombres tir6s au hasard a raison 
d'une composante QA i? QB„ ... pour chacun desdits facteurs premiers p„ 
lesdites cles privees QA, QB, pouvant etre^Sculees a partir desdites 
composantes QA,, QA 2 , ... (QA S , ...), et QB 15 QB 2 , ... (QB, , ...), ... par la 
methode des restes chinois, 

ledit dispositif temoin comportant des huitiemes moyens de calcul pour 
calculer lesdites cles publiques GA, GB, 

• en effectuant des operations du type : 

GAj = QAj V mod Pi 

• puis en appliquant la methode des restes chinois pour 6tablir GA tel que 

GA = QA V mod n 

ou bien tel que 

GA.QA* mod n = 1 
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de sorte que le nombre cf operations arithmetiques modulo p i a effectuer 
par les huitiemes moyens de calcul dudit dispositif temoin pour calculer 
chacun des GAj pour chacun des p; est reduit par rapport a ce qu'il serait si 
les operations etaient effectu6es modulo n, 

17. Systeme selon la revendication 16 tel que Fexposant public de 
verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une security equivalente k la 
connaissance de la cle privee QA. 

18. Systeme selon Tune quelconque des revendications 11 & 15 tel 
que Fexposant public de verification v est du type 

v = a k 

ou k est un parametre de securite. 

19. Systeme selon la revendication 18 tel que : 

- Fexposant public de verification v est du type 

v = 2 k 

ou k est un parametre de securite, 

- la cle publique GA est un carre gA 2 inferieur a n choisi de telle 

sorte que Fequation 

x 2 = gA mod n 

n'a pas de racine en x dans Fanneau des entiers modulo n 

- ledit dispositif temoin comportant des neuviemes moyens de calcul 
pour calculer les dites composantes QA 19 QA 2 , ... (QAj , ...) de la cle 
privee QA en appliquant des formules telles que : 

GA= QA; 2exp(k) mod p s 

ou bien telles que : 

GA .QA S 2 exp(k) mod p s = 1 
et en extrayant la kieme racine canree de GA dans le corps de Galois 
CG( Pi ) 

de sorte que le nombre d' operations arithmetiques modulo Pj k effectuer 
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par les neuviemes moyens de calcul du dispositif temoin pour calculer 
chacun des QAj pour chacun des est reduit par rapport a ce qu'il serait si 
les operations etaient effectuees modulo n, 

de sorte que la pake de cles GA, QA confere une securite equivalente a la 
connaissance de la factorisation de n. 

20. Sy steme selon la revendication 19 tel que pour extraire la kieme 
racine carr6e de GA dans le corps de Galois CG(pj), 

* dans le cas ou le facteur premier p, est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

x = (p+l)/4 ;ysx k mod (p-1) ; z = y ; QAj s GA Z mod Pi 

* dans le cas ou le facteur premier p s est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

21. Objet nomade, se presentant par exemple sous la forme d'une 
carte bancaire a microprocesseur, pour diminuer la charge de travail 
pendant une session destinee a prouyer a un serveur controleur, 

- l'authenticite d'une entite et/ou 

- l'origine et l'integrite d'un message m, 
ledit objet nomade faisant intervenir trois entit6s : 

- une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p„ p 2 , ... (p. , ...) (i ^ t ant superieur ou egal a 2) d'un 
module public n tel que n = p x .p 2 . p 3 , 

ledit dispositif t6moifl dispose aussi d'une deuxieme zone memoire 
contenant : 

* des composantes QA„ QA 2 , ... (QA S , ...), et QB 1? QB 2 , ... (QB, , 
...),..., representant des cles privees QA, QB, 
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* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA 19 GA 2 , ... (GA l9 ...) et GB 19 GB 2 , ... (GBj, ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cl6s privies et cl6s publiques etant li£es par des relations du type : 

GA.QA~ mod n = 1 ou GA s QA~ mod n 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

Rj = mod p, 
oil Tj est un alea tel que 0 < r s < Pj , 

de sorte que le nombre d' operations arithmetiques modulo ft a effectuer 
par lesdits premiers moyens de calcul pour calculer chacun des Rj pour 
chacun des p i est r6duit par rapport k ce qu'il serait si les operations etaient 
effectu6es modulo n, 

- une deuxi&me entit6, appel6e dispositif pilote dudit dispositif 
temoin, pouvant etre egalement contenue dans ledit objet nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrateur dans le cas de la preuve de Tauthenticite 
d'une entite ou de l'authenticite d'un message, 

* dispositif de signature dans les cas de la preuve de l'origine et de 
Tintegrite d'un message, 

- une troisieme entite appelee dispositif controleur se presentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
& un reseau de communication informatique, 

ledit dispositif controleur verifie rauthentification ou l'origine et l'integrite 
d'un message, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, 61ectromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
contr61eur, 



ledit dispositif temoin re9oit du dispositif pilote ou du dispositif controleur 
un ou plusieurs defis d tel que 0 < d < vx - 1 et comporte des deuxiemes 
moyens de calcul pour calculer a partir dudit defi d une ou plusieurs 
reponses D en effectuant des operations du type : 

Dj s r s . QAj ^ , QB, m mod p t 

ou Tj est un entier, associe au nombre premier p v tel que 0 < r s < pj , chaque 
r, appartenant a une collection d'aleas {r x , r 2 , r 3 , ...}, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d'engagements R que de collections d'aleas {r l5 r 2 , r 3 , ... }, 
de sorte que le nombre d' operations arithmetiques modulo p s a effectuer 
par lesdits deuxiemes moyens de calcul pour calculer chacune des reponses 
Dj pour chacun des p { est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n, 

ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou les dites reponses D. 

22. Objet nomade se presentant par exemple sous la forme d'une 
carte bancaire a microprocesseur, pour diminuer la charge de travail 
pendant une session destinee a prouver a un controleur, 

- 1' authenticity d'une entite et/ou 

- Torigine et Tintegrite d'un message m, 
ledit objet nomade faisant intervenir trois entites: 

- une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p 1? p 2 , (p s , ...) (i etant superieur^bu egal a 2) d'un 
module public n tel que n = p r p 2 . p 3 . ... , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant 




* des composantes QA ly QA 2 , ... (QAj ,...), et QB 15 QB 2 , ... (QBj , 
. . .), . . . , representant des cles privees QA, QB, . . . 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA t , GA 2 , ... (GA i5 ...) et GB 15 GB 2 , ... (GB,, ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA V mod n = 1 ou GA - QA V mod n 

ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R, 

• en effectuant des operations du type : 

Rj = mod Pj 

ou Tj est un entier, tire au hasard, associe au nombre premier p s , tel que 0 < Tj 
< Pj , chaque r 8 appartenant a une collection d'aleas {r 15 r 2 , r 3 , ...}, 

• puis en appliquant la methode des restes chinois, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
qu'il y a autant d'engagements R que de collections d'aleas {r ls r 2 , r 3 , ... }, 
de sorte que le nombre cT operations arithmetiques modulo p t a effectuer 
par lesdits premiers moyens de calcul pour calculer chacun des Rj pour 
chacun des p { est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- une deuxieme entite, appelee dispositif pilote dudit dispositif 
temoin, pouvant etre egalement contenue dans ledit objet nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrates dans le cas de la preuve de l'authenticite 
d'une entite ou de l'authenticite d'un message, 

* dispositif de signature dans le cas de la preuve de 1'origine et de 
1'integrite d'un message, 

- une troisieme entite, appelee dispositif controleur, se presentant 
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notamment sous la forme d'un terminal et/ou d'un serveur distant connects 
a un reseau de communication informatique, 

ledit dispositif controleur verifie l'authentification ou l'origine et l'integrit6 
d'un message, 

ledit objet nomade comporte des moyens de connexion pour connecter 
61ectriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif t6moin et/ou ledit dispositif pilote audit dispositif 
contrdleur, 

ledit dispositif temoin recoit du dispositif pilote ou du dispositif controleur, 
des collections de d6fis d {dA, dB, ...} tels que 0 <, dA < v - 1, le nombre 
des collections de defis d 6tant 6gal au nombre d' engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis egal au nombre de 
paires de cles, 

ledit dispositif t6moin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de d6fis {dA, dB, ...} des 
reponses D 

• en effectuant des operations du type : 



• puis en appliquant la methode des restes chinois, 

de telle sorte qu'il y a autant de reponses D que d' engagements R et de 
defis d, 

de sorte que le nombre d'operations arithmetiques modulo ft a effectuer 
par lesdits deuxiemes moyens de calcul pour calculer chacun des D t pour 
chacun des Pj est r6duit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou lesdites reponses D. 

23. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee a prouver a un dispositif controleur 



D^r^QAi^. 



QB, mod pj 



• .3. • 



Fauthenticite d'une entite ; 

ledit objet nomade faisant intervenir trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p l9 p 2 , ... (pg. , ...) (i etant superieur ou 6gal h. 2) d'un 
module public n tel que n = p r p 2 . p 3 . ... , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant : 

* des composantes QA 15 QA 2 , ... (QAj ,...), et QB X , QB 2 , ... (QB 5 , 
...), . . representant des cl6s privies QA, QB, . . . 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA 15 GA 2 , ... (GAj, ...) et GB 1? GB 2 , ... (GB S , ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type: 

GA.Q A v mod n = lou G A = QA V mod n 

2 - nne deuxieme entite, appelee dispositif demonstrateur dudit 
dispositif temoin, pouvant etre egalement contenue dans ledit objet 
nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif controleur, 

pour prouver Fauthenticite d'une entite, ledit objet nomade execute les 
Stapes suivantes : 
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• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r w r 2 , r 3 , ...},telle que pour chaque facteur premier r, chaque 
collection comporte un alea r,positif et plus petit que p, , 

- le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r, a la puissance v ieme modulo Pi , pour chaque facteur 
premier p { , 

Rj = r, v mod p f 

de sorte que le nombre d'op6rations arithmdtiques modulo p, a effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des R, pour 
chacun des Pi est reduit par rapport a ce qu'il serait si les operations &aient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'al6as 

• etape 2. transmission des engagements R et reception des defis d 
destines au dispositif temoin : 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
au dispositif controleur tout ou partie de chaque engagement R, 

- ledit objet nomade comporte des moyens de reception pour recevoir des 
collections de d6fis d {dA, dB, ...} produits par ledit dispositif controleur, 

• etape 3. reponse du dispositif temoin aux d^fis d : 

- ledit dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D , a partir desdites collections de defis d {dA, dB, 
. . . } recues du dispositif contrSleur, 

en effectuant des operations du type : 
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D i = r i .QA i dA .QB i dB ....mod p, 

puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p 5 a effectuer 
par les troisi&mes moyens de calcul pour calculer chacun des D t pour 
chacun des p, est reduit par rapport k ce qu'il serait si les operations 6taient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d'engagements R et de defis d, 

• etape 4. donnees destinees au dispositif contrdleur : 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
au dispositif controleur chaque reponse D, 

• etape 5. verification par le dispositif contrdleur : 

ledit dispositif contrdleur verifie la coherence des triplets {R, d, D} et 
l'authenticite de Tentite controlee. 

24. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee a prouver a un controleur 
1' authenticity d'un message m, 
ledit objet nomade faisant intervenir trois entites : . 

1 - une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin comporte une premifere zone memoire contenant des 
facteurs premiers p v p 2 , ... (p. , ...) (i 6tant superieur ou egal a 2) d'un 
module public n tel que n = p r p 2 . p 3 . * . . , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant 

* des composantes QA 15 QA 2 , ... (QA 5 , ...), et QB^ QB 2 , ... (QB i , 
. . .), . . . , representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectiveiiient pour 
composantes GA 19 GA 2 , ... (GAj, ...) et GBj, GB 2 , (GBj , ...) 
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* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA V mod n = louGA = QA V mod n 

2 - une deuxieme entite, appelee demonstrateur dudit dispositif 
temoin, pouvant etre egalement contenue dans ledit objet nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte a un 
r6seau de communication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnStiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif controleur, 

pour prouver l'authenticite d'un message ledit objet nomade execute les 
etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

- ledit dispositif temoin comporte des premiers moyens de calcul pour tirer 
au hasard et en prive, a chaque appel, au m oins une collection de nombres 
entiers {r„ r 2 , r 3 , ...},telle que, pour chaque facteur premier p,, chaque 
collection comporte un alea r lP ositif et plus petit que Pl , 

- ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
elever chaque alea r, a la puissance v ieme modulo Pi , pour chaque facteur 
premier p ; , 

Rs = Tj v mod Pj 

(de sorte que le nombre d'operations arithmetiques modulo p. a effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des ^ pour 
chacun des Pi est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
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etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

• etape 2. reception des defis d destines au dispositif temoin: 

- le dispositif demonstrates comporte des premiers moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R pour un jeton T, 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur le jeton T, 

- ledit objet nomade comporte des moyens de reception pour recevoir des 
collections de defis d {dA, dB, ...}produits par ledit dispositif controleur 
au moyen du jeton T, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
refues du dispositif controleur 

en effectuant des operations du type : 

Dj = r 5 . QAj dA ,QB i dB .... mod p. 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p ; a effectuer 
par les quatriemes moyens de calcul pour calculer chacun des D. pour 
chacun des p { est reduit par rapport a ce qu*il serait si les operations etaient 
effectu6es modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

• etape 4. donnees destinees au dispositif controleur : 

- Tobjet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur chaque reponse D 
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* etape 5. verification par le dispositif contrdleur : 

ledit dispositif contrdleur verifie la coherence des triplets {R, d, D) et 
l'authenticitg du message m. 

25. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee a prouver a un controleur la 
signature numerique d'un message m, 
ledit objet nomade faisant intervenir trois entit6s : 

1 - une premiere entite, appe!6e dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p„ p 2 , ... (p. , ...) (i etant superieur ou 6gal a 2) d'un 
module public n tel que n = p,.p 2 . p 3 , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant : 

* des composantes QA W QA 2 , ... (OA, , ...), et QB 1? QB 2 , ... (QB, , 
...),..., representant des cl6s priv6es QA, QB, . . . 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA,, ...) et GB„ GB 2 , ... (GB i5 ...) 

* un exposant public de verification v 1 

lesdites paires de c!6s privees et publiques etant liees par des relations du 
type : 

GA.QA V mod n = lou GA = QA V mod n 

2 - une deuxieme entite appelee dispositif de signature, pouvant etre 
egalement contenue dans ledit objet nomade, 

3 - une troisieme entite appelee dispositif contr61eur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte a un 
reseau de communication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
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acoustique ledit dispositif temoin et ledit dispositif de signature audit 
dispositif controleur, 

pour prouver la signature d'un message ledit objet nomade execute les 
etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en priv6, h chaque appel, au moins une collection de nombres 
entiers {r v r 2 , r 3 , ...},telle que pour chaque facteur premier ft, chaque 
collection comporte un al6a i-jpositif et plus petit que p t , 

- le dispositif temoin comporte des deuxi&mes moyens de calcul pour Clever 
chaque al6a Tj k la puissance v ieme modulo p { , pour chaque facteur 
premier p t , 

Rj = r, v mod p { 

de sorte que le nombre d' operations arithmetiques modulo pj a effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des Rj pour 
chacun des p i est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

• etape 2. defi d destine au dispositif temoin : 

- ledit dispositif de signature comporte des troisiemes moyens de calcul 
pour calculer, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R, au moins une collection 
de d^fis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections de 
d6fis d etant egal au nombre d'engagements R, chaque collection {dA, dB, 
...} comprenant un nombre de defis egal au nombre de paires de cles, 



O 138 0 



- le dispositif de signature transmet les collections de defis d au temoin, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
re?ues du dispositif contrdleur, 

en effectuant des operations du type : 

Dj = Tj . QAj . QBj mod p, 

puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p. a effectuer 
par les quatriemes moyens de calcul pour calculer chacun des D s pour 
chacun des p; est reduit par rapport a ce qu'il serait si les operations etaient 
effectu^es modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d'engagements R et de defis d, 

- Fobjet nomade comporte des moyens de transmission pour transmettre les 
reponses D au dispositif de signature et/ou au dispositif controleur, 

• etape 4. donnees destinees au dispositif controleur : 

- l'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur un message signe comprenant : 

/le message m, 

/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le dispositif controleur : 

ledit dispositif controleur verifie la coherence des triplets {R, d, D} et la 
signature num&ique du message m. 

26. Objet nomade selon Tune quelconque des re^Vendications 21 a 
25 tel que les composantes QA 19 QA 2 , ... (QA S , ...), et QB 15 QB 2 , ... (QBj , 
...), ... des cles privees QA, QB, ... sont des nombres tires au hasard a 
raison d'une composante QAj , QBj , ... pour chacun desdits facteurs 
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premiers p„ lesdites cles privees QA, QB, pouvant etre calcul6es a partir 
desdites composantes QA 19 QA 2 , ... (QAj , ...), et QBj, QB 2 , ... (QB| , ...), 
par la methode des restes chinois, 

ledit dispositif temoin comportant des huitiemes moyens de calcul pour 
calculer lesdites cl6s publiques GA, GB, 

• en effectuant des operations du type : 

GAj = QAj V mod p, 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA V mod n 

ou bien tel que 

GA.QA V mod n = l 

de sorte que le nombre d' operations arithmetiques modulo p s a effectuer 
par les huitiemes moyens de calcul dudit dispositif temoin pour calculer 
chacun des GAj pour chacun des p x est reduit par rapport a ce qu'il serait si 
les operations etaient effectuees modulo n, 

27. Objet nomade selon la revendication 26 tel que l'exposant 
public de verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la cle privee QA. 

28. Objet nomade selon Tune quelconque des revendications 21 a 
25 tel que l'exposant public de verification v est du type 

v = a k 

ou k est uri parametre de securite. 

29. Objet nomade selon la revendication 28 tel que : 

- l'exposant public de verification v est du type 

v = 2 k 

ou k est un parametre de securite, 

- la cle publique GA est un carre gA 2 inferieur a n choisi de telle 
sorte que 1* equation 
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x 2 = gA mod n 

n'a pas de racine en x dans l'anneau des entiers modulo n 

- ledit dispositif temoin comportant des neuviemes moyens de calcul 
pour calculer lesdites composantes QA„ QA 2 , ... (QAj , ...) de la cl6 
priv£e QA en appliquant des formules telles que : 

GAs QA, 2expik) mod Pi 

ou bien telles que : 

GA.QA i 2 * x " (k) modpel 
et en extrayant la kieme racine carree de GA dans le corps de Galois 
CG( P| ), 

de sorte que le nombre d' operations arithmetiques modulo p, a effectuer 
par les neuviemes moyens de calcul du dispositif temoin pour calculer 
chacun des QAj pour chacun des p 4 est r6duit par rapport a ce qu'il serait si 
les operations 6taient effectuees modulo n, 

de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la factorisation de n. 

30. Objet nomade selon la revendication 29 tel que pour extraire la 
kieme racine carree de GA dans le corps de Galois CG( Pi ), 

* dans le cas ou le facteur premier p t est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

x = (p+l)/4 ; y = x k mod (p-1) ; z = y ; Q\ = GA 2 mod p< 

* dans le cas ou le facteur premier p t est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

31. Dispositif de controle permettant de diminuer la charge de travail 
pendant une session destin6e a verifier : 

- 1'authenticite d'une entite et/ou 

- l'origine et l'integrit6 d'un message m, 




ledit dispositif de controle se presentant sous la forme d'un terminal ou 
d'un serveur distant connecte a un reseau de communication informatique, 
ledit dispositif de controle mettant en oeuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets p 19 p 2 , ... (p s , ...) (i etant superieur ou egal a 2) 

n = Pi-P2-P3- — , 
• des cles publiques GA, GB, ... 

- des exposants publics de verification vx, vy, ... 

lesdites cles privees GA et les cles publiques associees QA etant liees par 
des relations du type : 

GA.QA™ mod n = 1 ou GA = QA W mod n 
ledit dispositif de controle faisant intervenir trois entites : 

- une premiere entite, appelee dispositif temoin, contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur, ledit dispositif temoin produisant des 
engagements R, 

- une deuxieme entite appelee dispositif pilote dudit dispositif 
temoin pouvant etre contenue notamment dans ledit objet nomade, 

- une troisieme entite, appelee dispositif controleur, contenue dans 
ledit dispositif de controle, 

ledit dispositif de controle comporte : 

- des moyens de connexion pour connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique ledit 
dispositif controleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donnees produites 
par ledit dispositif controleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant 
dudit dispositif temoin et/ou dudit dispositif pilote, 
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ledit dispositif contrdleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis 
d tel que 0 < d < vx - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D re$ues dudit dispositif temoin et/ou dudit dispositif pilote, des 
engagements R' en effectuant des operations du type : 

R'i=GA d . D va modn 

ou du type : 

R'i-GA d =D va modn 

- des troisiemes moyens de calcul pour verifier que les triplets {R% d, 
D} sont coherents 

32. Dispositif de controle permettant de diminuer la charge de travail 
pendant une session destin6e a verifier, 

- T authenticity d'une entite et/ou 

- Torigine et Tintegrite d'un message m, 

ledit dispositif de controle se presentant sous la forme d'un terminal ou 
d'un serveur distant connecte a un reseau de communication informatique, 
ledit dispositif de controle mettant en oeuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets p lf p 2 , ... (p., ...) (i etant superieur ou egal k 2) 

n = Pl-P2'P3— > 

- des cles publiques GA, GB, . . . 

- un exposant public de verification v 

lesdites cles privees GA et les cles publiques associees QA etant liees par 
des relations du type : 

GA.QA V mod n = 1 ou GA = QA V mod n 
ledit dispositif de controle faisant intervenir trois entites : 

- une premiere entit6, appelee dispositif temoin, contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
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bancaire a microprocesseur, ledit dispositif temoin produisant des 
engagements R, 

- une deuxieme entite, appelee dispositif pilote dudit dispositif 
temoin, pouvant etre contenue notamment dans ledit objet nomade, 

- une troisieme entite, appelee dispositif controleur, contenue dans 
ledit dispositif de controle, 

ledit dispositif de controle comporte : 

- des moyens de connexion pour connecter 61ectriquement, 
electromagnetiquement, optiquement ou de maniere acoustique ledit 
dispositif controleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donn6es produites 
par ledit dispositif controleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant 
dudit dispositif temoin et/ou dudit dispositif pilote, 

ledit dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis 
d {dA, dB, ...} tels que 0 <dA < v - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D re?ues du dudit dispositif temoin et/ou dudit dispositif pilote, 
des engagements R' en effectuant des operations du type : 

R'= GA dA . GB dB . ...D v modn 

ou du type : 

R' . G A ^ . GB a . . . . = D v mod n 

- des troisiemes moyens de calcul pour verifier que les triplets {R% d, 
D} sont coherents. ^ 

33. Dispositif de controle selon la revendication 32 perrnettant de 
dirninuer la charge de travail pendant une session destinee a verifier 
Tauthenticite d'une entite ; 
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dans le cas d'une authentification d'entite\ le dispositif pilote est appele 
dispositif demonstrateur, 

pour prouver 1' authenticate d'une entite ledit dispositif de controle execute 
les 6tapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif t6moin produit au moins un engagement R a partir d'au moins 
une collection d'aleas {r„ r 2 , r 3 , ...},telle que, pour chaque facteur premier 
p„ chaque collection comport© un alea r. t entier positif et plus petit que ft , 
de telle sorte qu'il y a autant d'engagements R que de collections d'aleas , 

• £tape 2. defis produits par le dispositif controleur et destines au 
dispositif temoin : 

- lesdits moyens de reception du dispositif de contr61e recoivent tout ou 
partie de chaque engagement R, transmis par le dispositif d6monstrateur, et 
le transmet au dispositif contrdleur, 

- le dispositif controleur comporte des premiers moyens de calcul pour 
calculer, apres avoir recu tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre 
des collections de deTis d etant egal au nombre d'engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis egal au nombre de 
paires de cles, 

• etape 3. reponse du dispositif temoin aux defis d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D , a partir desdites collections de defis d {dA, dB, 
...} recues du dispositif controleur, de telle sorte qu'il y a autant de 
reponses D que d'engagements R et de defis d, 

• etape 4. donnees destinees au dispositif controleur : 

- les moyens de r6ception du dispositif de controle re?oivent du dispositif 
demonstrateur chaque reponse D, 

• etape 5. verification par le dispositif controleur : 
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ledit dispositif controleur comporte des deuxiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R , = GA dA ,GB dB ...,D v modn 

ou du type : 

R' . GA dA . GB dB . ... = D V mod n 

ledit dispositif controleur comporte des troisiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis a T6tape 2 par le dispositif 
demonstrateur 

34. Dispositif de controle selon la revendication 32 permettant de 
diminuer la charge de travail pendant une session destinee h. verifier 
Tauthenticit6 d'un message m, 

dans le cas d'une authentification d'un message m, le dispositif pilote est 
appele dispositif demonstrateur, 

pour prouver r authenticity d'un message m, ledit dispositif de controle 
execute les etapes suivantes : 

• etape J. engagement R du dispositif temoin : 

- le dispositif temoin produit au moins un engagement R a partir d'au moins 
une collection d'aleas {r„ r 2 , r 3 , ...},telle que, pour chaque facteur premier 
Pi, chaque collection comporte un alea r t entier positif et plus petit que p s , 
de telle sorte qu'il y a autant d'engagements R que de collections d'aleas , 

• etape 2. defis d prod u its par ledit dispositif controleur et 
destines au dispositif temoin : 

- lesdits moyens de reception du dispositif de controle regoivent au moins 
un jeton T calcule et transmis par le dispositif demonstrateur en appliquant 
une fonction de hachage f ayant comme arguments le message m et chaque 
engagement R, 

- ledit dispositif controleur comporte des premiers moyens de calcul pour 
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calculer, apres avoir recu le jeton T, au moins une collection de defis d {dA, 
dB, ...} tels que 0 < dA < v - 1, le nombre des collections de defis d etant 
egal au nombre d'engagements R, chaque collection {dA, dB, ...} 
comprenant un nombre de defis egal au nombre de paires de cles, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
recues du dispositif contrSleur, de telle sorte qu'il y a autant de r6ponses D 
calculees par le temoin que d'engagements R et de defis d, 

• €tape 4. donnees destinees au dispositif controleur : 

- les moyens de reception du dispositif de controle recoivent du dispositif 
demonstrateur chaque reponse D, 

• etape 5. verification par le dispositif controleur : 

ledit dispositif controleur comporte des deuxiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R , sGA dA .GB dB ....D" modn 

ou du type : 

GA dA . GB dB . ... = D V mod n 
ledit dispositif contrSleur comporte des troisiemes moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ayant comme arguments le 
message m et chaque engagement R', le jeton T\ 

ledit dispositif contr61eur comporte des quatriemes moyens de calcul pour 
comparer et verifier que le jeton T' est identique au jeton T transmis a 
1'etepe 2 par le dispositif demonstrateur. 

35. Dispositif de contrdle selon la revendication 32 permettant de 
diminuer la charge de travail pendant une session destinee a verifier la 
signature numerique d'un message m, 

dans le cas d'une authentification d'un message m, le dispositif pilote est 




appel6 dispositif de signature, 

pour prouver la signature numerique du message m, ledit dispositif de 
contrdle execute les etapes suivantes : 

• etape 1. engagement R du temoin : 

- le dispositif temoin produit au moins un engagement R k partir d'au moins 
une collection d'aleas {r 19 r 2 , r 3 , ...},telle que pour chaque facteur premier 
p„ chaque collection comporte un alea r, entier positif et plus petit que r , 
de telle sorte qu'il y a autant d'engagements R que de collections d'aleas , 

• etape 2. defis d destines au dispositif temoin : 

- ledit dispositif de signature calcule, en appliquant une fonction de 
hachage f ayant comme arguments le message m et chaque engagement R, 
au moins une collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le 
nombre des collections de defis d 6tant 6gal au nombre d' engagements R, 
chaque collection {dA, dB, ...} comprenant un nombre de defis egal au 
nombre de paires de cles, 

- le dispositif de signature transmet les collections de defis d au 
temoin, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, k partir desdites collections de defis d {dA, dB, 
...}, de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d* engagements R et de defis d, 

- ledit dispositif temoin comporte des moyens de transmission pour 
transmettre les reponses D au dispositif de signature et/ou au dispositif 
controleur, 

• etape 4. donnees destinees au dispositif controleur : 

- les moyens de reception du dispositif de controle re9oivent du dispositif 
de signature un message signe comprenant : 

/ le message m, 
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/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le dispositif controleur : 
cas oil le dispositif controleur regoit la collection des defis d, 

dans le cas ou le dispositif controleur regoit les collections des defis d et 
des reponses D, 

ledit dispositif controleur comporte 

* des premiers moyens de calcul pour calculer a partir de chaque 
reponse D un engagement R' en effectuant des operations du type : 

R , = GA dA .GB dB ....D v modn 

ou du type : 

R\GA dA .GB dB .... = D v modn 

* des deuxiemes moyens de calcul pour calculer chaque defi d\ en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement reconstruit R', 

* des troisiemes moyens de calcul pour comparer et verifier que 
chaque defi d' est identique au defi d figurant dans le message signe, 

cas ou le dispositif controleur regoit la collection des engagements R 
dans le cas ou le dispositif controleur re?oit la collection des engagements 
R et des reponses D, 
ledit dispositif controleur comporte 

* des premiers moyens de calcul pour calculer chaque defi d\ en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement R, 

* des deuxiemes moyens de calcul pour calculer alors la collection 
des engagements R' en effectuant des operation du type^ 

R' = GA d ' A .GB d ' B ....D v modn 

ou du type : 

R' . GA d A . GB d ' B . ... = D V mod n 
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* des troisiemes moyens de calcul pour comparer et verifier que 
chaque engagement R' reconstruit est identique a T engagement R figurant 
dans le message signe. 

36. Dispositif de contrSle selon Tune quelconque des 
revendications 31 a 35 tel que les composantes QA 15 QA 2 , ... (QA fi ,...), et 
QB 1? QB 2 , ... (QB M ...), des cles privies QA, QB, ... sont des nombres tires 
au hasard k raison d'une composante QAj , QBj , ... pour chacun desdits 
facteurs premiers p s , lesdites ctes privees QA, QB, pouvant etre calculees k 
partir desdites composantes QA ly QA 2 , ... (QA 5 , ...), et QB 19 QB 2 , ... (QB, 
,...), ... par la methode des restes chinois, 

ledit dispositif temoin comportant des moyens de calcul pour calculer 
lesdites cles publiques GA, GB, 

• en effectuant des operations du type : 

GAj= QA^modpj 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA v mod n 

ou bien tel que 

GA.QA V mod ns 1 

de sorte que le nombre d' operations arithmetiques modulo P; a effectuer 
par les huitiemes moyens de calcul dudit dispositif temoin pour calculer 
chacun des GA; pour chacun des p; est reduit par rapport a ce qu'il serait si 
les operations etaient effectu6es modulo n, 

37. Dispositif de controle selon la revendication 36 tel que 
Fexposant public de verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une securite 6quivalente a la 
connaissance de la cle privee QA. 

38. Dispositif de controle selon l'une quelconque des 
revendications 31 a 35 tel que l'exposant public de verification v est du 
type 
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v = a k 



oii k est un parametre de securite. 

39. Dispositif de controle selon la revendication 38 tel que : 

- l'exposant public de verification v est du type 
5 v = 2 k 

ou k est un parametre de securite, 

- la cle publique GA est un carre gA 2 inferieur a n choisi de telle 
sorte que F equation 

x 2 = gA mod n 

10 n'a pas de racine en x dans Fanneau des entiers modulo n 

- ledit dispositif t6moin comportant des neuviemes moyens de calcul 
pour calculer les dites composantes QA 1? QA 2 , ... (QA i , ...) de la cle 
privee QA en appliquant des formules telles que : 

GA= QA S ^ (k) mod Pi 

15 ou bien telles que : 

GA .QA. 2e ** k) mod Pi = 1 
et en extrayant la kieme racine carree de GA dans le corps de Galois 
CG( Pi ) 

de sorte que le nombre d' operations arithmetiques modulo ft a effectuer 
20 par les neuviemes moyens de calcul du dispositif temoin pour calculer 

chacun des QA t pour chacun des p { est reduit par rapport a ce qu'il serait si 
les operations etaient effectuees modulo n, 

de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la factorisation de n. 
25 40. Dispositif de controle selon la revendication 39 tel que pour 

extraire la kieme racine carree de GA dans le corps de Galois CG(pj), 

* dans le cas ou le facteur premier p t est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 



• .5. • 



x = (p+l)/4 ; y = x k mod (p-1) ;z = y;QA i sGA J mod Pi 
* dans le cas ou le facteur premier p t est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme bas6 sur les suites de Lucas. 
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